УДК 614.8
Проблемы оценки опасностей и управления рисками объектов критически важной инфраструктуры Группы «Газпром»: аналитический обзор
А.В. Бочков
Ключевые слова:
критически важная
инфраструктура,
риск,
безопасность,
угроза,
живучесть,
устойчивость,
уязвимость,
эффективность
функционирования,
показатели.
ООО «НИИгазэкономика», Российская Федерация, 105066, г. Москва, ул. Старая Басманная, д. 20/8 E-mail: [email protected]
Тезисы. Представлен обзор традиционных и принципиально новых подходов к оценке опасности и риска, а также смягчению последствий аварий для объектов критически важной инфраструктуры Группы «Газпром». Сформулирована проблема исследования и оценки рисков, стабильности, уязвимости и живучести крупномасштабных систем. Обсуждаются вопросы априорной (докризисной, кризисной) оценки аномальной ситуации в подобных системах и построения системы показателей опасности и риска. Описана концепция рационального распределения ресурсов, выделенных на защиту от выявленных угроз и рисков. Предложен алгоритм ранжирования объектов по критерию их системной значимости с учетом конструктивных и технологических различий. Применительно к важнейшим объектам инфраструктуры структурно сложных систем показаны методы анализа и контроля рисков, позволяющие принимать обоснованные решения о рациональном распределении средств защиты таких объектов. Отмечены особенности ситуационного управления в понимании процесса управления как процесса передачи информационных потоков от одного субъекта к другому.
Часто обсуждаемая в последнее время [1, 2] проблема критически важной инфраструктуры (КВИ) заключается в следующем: почти во всех важнейших секторах экономики существуют системы, элементы которых настолько далеко разнесены в пространстве, что экономическими методами практически невозможно полностью защитить все объекты даже одного из секторов, не говоря уже о системе целиком. Главной проблемой лица, принимающего решения в области обеспечения безопасности функционирования подобных систем, (далее - ЛПР) являются вопросы оценки существующих угроз и рисков, значимых как для системы в целом, так и для ее элементов, и определения приоритетности защиты элементов и объектов КВИ с учетом имеющихся в распоряжении ресурсов.
Помимо огромных размеров многие сектора экономики настолько сложны, что технологически и экономически невозможно предвидеть и просчитать все последствия какого-либо инцидента, независимо от того, вызван ли он злонамеренными действиями людей или природными бедствиями. Как правило, крайне трудно предсказать последствия малых возмущений в одной части КВИ для других ее участков. Например, все коммуникации в сети интернет в Южной Африке были полностью прекращены вследствие падения башен-близнецов в результате террористической атаки на США 9 сентября 2001 г., а относительно незначительные неисправности в электрических сетях компании First Energy Corp. в Огайо (США) ускорили в августе 2003 г. блэкаут, затронувший 50 млн чел. за тысячи километров от источника проблемы. По сути, существующая инфраструктура уязвима просто потому, что она содержит настолько много взаимосвязанных компонентов, что анализ их взаимодействий превращается в неразрешимую задачу для большинства технических консультантов, аналитиков и ЛПР, определяющих политику безопасности системы.
Под термином «система» здесь и далее будем понимать совокупность действующих элементов, взаимосвязанных между собой и рассматриваемых как единое структурное целое [3]. Вообще, любая систем предполагает наличие некоторого количества элементов, обладающих определенным качеством и характеризующихся отношениями между собой. При этом ряд исследователей обращает внимание на то, что, если речь идет именно о системе, в этих отношениях должен соблюдаться принцип
пропорциональности [4]. Все это в совокупности определяет условия решения основной задачи - поиска аргументов функции риска. Существует много классификаций систем, каждая из которых обладает специфическими особенностями. Далее рассмотрим класс так называемых структурно сложных систем (ССС), к которым можно отнести и Группу «Газпром». И отдельные элементы систем, и системы в целом характеризуются набором свойств. Одно из базовых свойств таких объектов - надежность - означает способность безотказно функционировать непрерывно со 100%-ной эффективностью. При анализе надежности главным считается критерий отказа, который делит все события на «да» и «нет». Оперативной эффективностью функционирования называется свойство объекта функционировать непрерывно, хотя, возможно, и с пониженным уровнем выходных параметров. Фактически это та же надежность, но уже без учета жесткого критерия отказа, а с несколькими уровнями качества/эффективности.
Устойчивость - это свойство объекта возвращаться (за допустимое время) к прежнему 100%-ному уровню функционирования после выведения из строя его отдельных компонентов. При естественных воздействиях устойчивость может характеризоваться числом элементов, случайное «выключение» которых из системы приводит ее в состояние, когда она перестает удовлетворять понятию 100%-ной работоспособности. (Под элементами при этом понимают структурные единицы (блоки) равного масштаба.) При враждебных воздействиях устойчивость характеризуется числом элементов, упорядоченных по важности, удаление которых приводит систему к состоянию, когда она перестает быть 100%-но работоспособной. Таким образом, устойчивость есть способность системы адаптироваться и возвращаться в исходное состояние. В последние годы при анализе устойчивости ССС стали также применять термины «упругость» (англ. resilience) и «антихрупкость» [5].
Живучесть - свойство объекта продолжать функционирование в допустимых пределах даже после выведения из строя отдельных компонентов. При естественных воздействиях живучесть системы характеризуется числом элементов, «выключение» которых из системы случайным образом приводит к ее «умиранию»; при враждебных воздействиях -
соответственно, «выключением» элементов, упорядоченных по важности. Таким образом, живучесть - это запас прочности.
И, наконец, безопасность - это свойство объекта выполнять свои функции без нанесения ущерба обслуживающему персоналу, окружающей среде и пр., одновременно характеризующееся и как ощущение, и как состояние. Состояние безопасности определяется развитием соответствующих технологий, а оценивается с помощью математических методов моделирования; оно основано на анализе и оценке рисков и эффективности различных мер, средств и механизмов защиты. Ощущение безопасности - это психологические реакции человека на угрозы и риски и психологическое же восприятие им достаточности мер защиты, т. е. того, что уровень риска является приемлемым. Таким образом, ощущение безопасности способно меняться субъективно. И в данном контексте можно согласиться с высказыванием американского криптографа, писателя и специалиста по компьютерной безопасности Брюса Шнайдера [6], утверждавшего, что безопасность - это процесс, а не результат. Однако нельзя считать, что у процесса обеспечения безопасности нет цели. Цель обеспечения безопасности - достигнуть такого состояния защищенности человека в окружающей среде, которое соответствует его субъективному ощущению безопасности (т.е. приемлемому уровню риска). Для достижения этой цели применяют так называемый риск-ориентированный подход.
Проблемы обеспечения безопасности объектов КВИ
Если говорить о теории безопасности, следует помнить, что любая теоретическая дисциплина опирается на математический аппарат, необходимый для проведения расчетов и получения точных количественных оценок и прогнозов поведения изучаемого объекта. Но наряду с этим существует достаточно широкий спектр задач и вопросов, для которых ответом является качественный результат. Так, нередко приходится говорить о возможности либо невозможности того или иного события. И такой - качественный - ответ имеет не меньшую ценность, например, в задачах анализа рисков.
Количество новой информации о состоянии объектов КВИ таково, что систематизировать его без добротной теории и развитого
математического аппарата невозможно. Математика выступает здесь как метод не только количественного анализа, но и качественного мышления. Методы, применяемые при решении задач обеспечения безопасности, нередко заимствованы из других дисциплин. Системы обеспечения безопасности не могут эффективно бороться с потенциальными угрозами, если их создают «раз и навсегда», т.е. неизменными. Меняются и окружающая объекты среда, и спектр значимых угроз, и риски, следовательно, система обеспечения безопасности должна учитывать эти изменения, быть развивающейся. Представляется, что при исследовании систем обеспечения безопасности могут быть востребованы методы теории дискретных автоматов. И такие работы появляются все чаще [7, 8]. Действительно, хотя управление безопасностью осуществляется непрерывно во времени, систему обеспечения безопасности возможно рассматривать как триггер, имеющий дискретный набор устойчивых состояний. Такой триггер может выступать в роли составной части более сложного дискретного автомата. В живых системах, например, неустойчивость используется целесообразно: это одна из самых важных движущих сил эволюции. Можно сказать, что высокая адаптивность живых организмов - следствие их неустойчивости [9]. Известный сторонник «управляемой неустойчивости» Насим Талеб также неоднократно подчеркивал, что многоуровневая избыточность есть главное свойство естественных (живых) систем, управляющее риском [5].
Как и в живых системах, неустойчивые процессы в системах обеспечения безопасности - залог их адаптивности к изменяющимся угрозам и опасностям. Наилучшей мерой для количественного описания опасности является риск. Это понятие широко используется в современной литературе, и часто в него вкладывают совершенно различные смыслы. В наиболее общем случае риск характеризуется вероятностью: возникновения неблагоприятного воздействия; того, что возникнет неблагоприятное воздействие именно данного типа; того, что данный тип воздействия заставит объект воздействия отклониться от состояния динамического равновесия в определенной степени. Таким образом, риск - векторная величина, которая может описывать опасности разного вида и аккумулирует все перечисленные смысловые составляющие. Поскольку далее в основном
обсуждаются вопросы, так или иначе связанные с обеспечением безопасности объектов КВИ, то там, где это не оговорено особо, под термином «риск» будем понимать риск техногенного, или - более конкретно - промышленного, происхождения.
Первым приближением, в вопросах, связанных с обеспечением безопасности, чаще всего является требование достижения пренебрежимо малого или «нулевого» риска, связанного с той или иной, как правило, производственной, деятельностью. Поэтому системы безопасности, которые создавались и использовались в промышленности, чаще всего являлись инженерными решениями, направленными на выполнение требования абсолютной безопасности. Основной принцип создания этих систем - так называемый принцип ALAPA (англ. as low as practicably achievable). Согласно этому принципу необходимо повышать промышленную безопасность любыми средствами и независимо от достигнутого уровня, если это технически осуществимо. Иными словами, в соответствии с ALAPA необходимо создавать технические меры безопасности, которые предотвращали бы аварийные ситуации, т.е. сводили на нет саму возможность возникновения и развития аварии. О качестве и эффективности таких систем безопасности чаще всего судили по статистическим данным о результатах их внедрения. Однако, несмотря на предпринимаемые меры предосторожности, аварии на промышленных предприятиях, и иногда очень серьезные, происходили и происходят в настоящее время. Усложнение технологий привело к тому, что часто просто немыслимо предугадать все возможные сценарии развития аварии и, соответственно, предусмотреть инженерные и организационные решения для их предотвращения, что лишний раз убедительно показали аварии в Чернобыле и на Фукусиме [10]. Все это потребовало разработки принципиально нового подхода к решению задач обеспечения безопасности вообще и промышленной безопасности в частности. В последние три десятилетия этим вопросам посвящено значительное количество работ, которые убедительно подтвердили уже ставшее аксиоматическим утверждение, что достижение абсолютной безопасности невозможно.
Таким образом, философия риска, основанная на концепции абсолютной безопасности, с необходимостью пришла к концепции
приемлемого риска, которая потребовала отказа от принципа ALAPA и перехода к новому принципу ALARA (англ. as low as reasonably achievable). Согласно ALARA необходимо достижение определенного уровня безопасности, который должен определяться исходя из социальных и экономических условий развития общества. Применительно к авариям, риск которых выше приемлемого, необходимо разрабатывать инженерные решения для их предотвращения и ослабления последствий, а применительно к авариям, риск которых меньше, - только меры по ослаблению последствий. Реализацию этого принципа, например, в атомной энергетике отражают соответствующие положения по обеспечению безопасности. Можно сказать, что в настоящее время решение задач безопасности сводится к тому, чтобы на основании определенных критериев ответить на вопрос о том, какими средствами и до какого уровня необходимо снижать риск в той или иной области производственной деятельности, чтобы безопасность человека и окружающей среды была оптимальной.
Проблемы анализа защищенности
Современная социально-политическая обстановка характеризуется сохранением в отношении объектов КВИ криминальной опасности со стороны экстремистских организаций, преступных группировок и отдельных физических лиц. Достаточно высокой остается в отношении этих объектов угроза террористических действий (терактов).
Проблема обеспечения инженерно-технической защиты КВИ Группы «Газпром» в рамках задачи создания систем их физической защиты (СФЗ) является комплексной [11, 12] и включает целый ряд достаточно самостоятельных и сложных подзадач, в числе которых анализ уязвимости, категорирование объектов, выбор и обоснование типовых требований к организации охраны объектов различных категорий, оценка эффективности принятых проектно-технических и организационных решений, оптимизация структуры и состава СФЗ по критерию «эффективность - стоимость» и т.п. Разработка методических подходов к решению этих задач и на сегодняшний день остается актуальной. Можно сказать, что в настоящее время только заложены теоретические основы анализа СФЗ [13, 14].
Применительно к защите от противоправных действий (ПД) рассматривают как
инженерно-техническую укрепленность объекта, так и, собственно, его СФЗ. Инженерно-техническая укрепленность характеризует свойство самого объекта противостоять действиям нарушителя, а СФЗ предназначена для воспрепятствования достижению им целей на объекте. Защищенность объекта - способность как самого объекта, так и специально созданной на нем СФЗ противостоять действиям нарушителя. С учетом физико-географических условий размещения объекта его защищенность количественно может быть оценена вероятностью пресечения ПД ответными действиями сил охраны, использующими инженерно-техническую укре-пленность объекта и его инженерно-технические средства охраны (ИТСО). Показатели защищенности объекта принято выражать через показатели его уязвимости перед противоправными действиями [15].
Обеспечение безопасности любого объекта предполагает некоторый комплекс мер противодействия угрозам этому объекту, т.е. понятие «угроза» является базовым, поскольку относительно него строится система обеспечения безопасности. Вместе с тем четкое определение этого понятия в теории и практике сферы обеспечения безопасности до сих пор отсутствует, что нередко приводит к его неоднозначному толкованию. Термин «угроза» имеет широкую семантическую шкалу, т.е. его смысл меняется в зависимости от контекста применения. В американских официальных документах «угроза» (англ. threat) рассматривается как возможность какой-либо страны, группы государств или явлений угрожать; под «вызовом» (англ. challenge) понимается возможность противодействовать; «риск» (англ. risk) определяется как возможность мешать достижению целей безопасности. Разрешение неопределенности, связанной с реализацией угроз, достигается построением системы безопасности на основе так называемого принципа равной защищенности. Этот принцип лежит, например, в основе разработки требований к обеспечению безопасности критических объектов транспортной инфраструктуры.
Рассмотренные понятия, связанные с определением угроз, позволяют выстроить принципиальную схему их взаимодействия в виде модели угроз отдельному объекту, группе или классу однородных объектов. Например, компрессорные станции (КС) Единой системы газоснабжения (ЕСГ) могут быть признаны
однородными объектами относительно спектра угроз критическим элементам их инфраструктуры, поскольку КС всех типов по внутриотраслевой классификации имеют одинаковую инфраструктуру и отличаются друг от друга только масштабом производственной деятельности и характеристиками критических элементов.
В ряде работ предпринята попытка рассматривать угрозу ПД в привязке к географическим и социально-политическим условиям размещения КВИ. Полученные расчетные соотношения учитывают местоположение объекта КВИ на территории страны, число представляющих интерес для нарушителей объектов в рассматриваемом регионе и предпочтительность выбранного объекта, его доступность для нарушителей по сравнению с другими объектами. Эти соотношения важны при задании требований к СФЗ объектов и оценке криминально-террористического риска в задаче определения приоритетности защиты объекта. Базовой для прогноза степени криминально-террористической опасности территории некоторого региона является частота противоправных проявлений в стране, определяемая по статистике готовившихся (пресеченных) и свершившихся противоправных акций в стране за ряд лет (временной ряд). Для учета различий в предпочтительности объектов (из числа размещенных на рассматриваемой территории) для нарушителей при планировании ими акта технологического терроризма при расчете частоты противоправных действий в отношении конкретного объекта вводится показатель его предпочтительности для нарушителей. Чем привлекательнее объект для нарушителей и менее защищен (более доступен), тем он предпочтительнее для совершения противоправных действий, и, следовательно, ожидаемая частота противоправных действий в отношении него выше. Полученные соотношения позволяют оценить безусловную уязвимость объекта в задачах оценки криминально-террористического риска при его эксплуатации.
Обеспечение требуемого уровня защищенности объектов любой ССС требует проведения комплекса организационных, оперативных, режимных, инженерно-технических, пожарно-профилактических мероприятий и действий физических лиц, направленных на предотвращение ущерба интересам системы и ее персоналу за счет хищения материально-технических
и финансовых средств, уничтожения имущества и ценностей, разглашения, утраты, утечки и уничтожения информации, нарушения работы технических средств, обеспечивающих производственную деятельность [16].
Важнейшая роль в построении эффективных систем обеспечения безопасности принадлежит методам анализа защищенности объектов. Теоретико-вероятностные методы широко и успешно применяются в научных исследованиях и моделировании СФЗ. Анализ показывает, что получение показателей эффективности системы защиты в основном строится на использовании математического аппарата теории вероятностей, теории множеств и методов имитационного моделирования.
В настоящее время приняты два основных подхода к выбору и оценке показателя эффективности СФЗ. Первый из них - детерминированный - предусматривает наличие жестких требований к СФЗ и проверку их выполнения [17]. Второй - вероятностный, используемый в настоящее время в США, России и ряде других стран, - должен позволять получать количественные значения эффективности СФЗ на всех стадиях ее жизненного цикла. На практике чаще всего используется комбинированная модель, сочетающая элементы качественного и количественного описаний, вероятностного и детерминированного подходов.
Первой расчетной методикой оценки эффективности СФЗ можно считать программу БЛ81, которая предназначена для оценки одного маршрута движения нарушителя: маршрут представлен последовательностью рубежей физической защиты и участками движения нарушителей между ними. В той или иной степени базовой концепции этой программы придерживаются при анализе эффективности СФЗ большинство отечественных и зарубежных исследователей. Статистический метод используется в случае наличия достаточного набора статистических данных о ПД на рассматриваемом объекте или на объектах, имеющих аналогичное архитектурно-планировочное решение. Однако поскольку такая статистика, как правило, отсутствует, для оценки инженерно-технической защищенности объектов используют вероятностно-статистический и экспертный методы. Вероятностно-статистический метод основан на использовании дополнительной информации о распределении ущербов от угрозы в случае ее реализации на объекте [7, 8].
Тем не менее частота негативных событий с тяжелыми последствиями, находящимися в хвосте распределения негативных событий по размеру ущерба, мала, т.е. они являются редкими событиями (на рассматриваемом объекте происходят не каждый год либо в прошлом не происходили вообще). Для таких событий даже при использовании объединенной выборки за интервал наблюдения характерна значительная статистическая неопределенность оценок как вероятности реализации, так и их доли. Для ПД, классифицируемых как катастрофические, точность оценки существенно зависит от точности определения вида и параметров формы распределения. Для повышения точности необходимо увеличить объем статистических данных, что связано в свою очередь с увеличением интервала наблюдения. Однако с течением времени условия проявления рассматриваемых угроз ПД в отношении объекта охраны меняются, и статистические данные уже не принадлежат исследуемой генеральной совокупности. При этом изменяется не только число негативных событий, но и их распределение по ущербу, а значит, прямое объединение статистических данных невозможно. В этом случае применяют экспертные методы оценки. Экспертный метод [16] использует знания и опыт экспертов - высококвалифицированных специалистов в области оценки защищенности объектов отрасли1. Применение экспертного метода целесообразно в том случае, когда нет достаточного объема статистических данных и математических моделей. К основным недостаткам таких методов относят отсутствие гарантий достоверности, полученных в результате обработки ответов экспертов, трудности в проведении опроса и неоднозначность самих процедур обработки данных. Повышение достоверности оценок требует соответствующих процедур отбора экспертов по множеству критериев и количественных методов обработки высказанных мнений. В начале 1970-х гг. американский математик Томас Саати предложил процедуру обработки экспертных оценок [17] под названием англ. Analityc hierarchy process (AHP). Этот метод, относящийся к классу критериальных,
См. Типовые требования по антитеррористической защищенности объектов промышленности и энергетики Российской Федерации, утвержденные замминистра промышленности и энергетики Российской Федерации в 2006 г.
получил исключительно широкое распространение и активно применяется во многих странах мира. Главным достоинством АНР можно считать тот факт, что веса критериев и оценки по субъективным критериям не назначаются прямым волевым решением, а вычисляются на основе парных сравнений. АНР более универсален, чем, например, метод Дельфи, так как допускает использование как групповых сравнительных суждений лиц, принимающих решения, так и независимых суждений, которые затем объединяют в рамках матриц попарных сравнений. Важно также, что метод обеспечивает структурирование проблемы участниками обсуждения непосредственно во время ее решения. К недостаткам метода можно отнести жесткие ограничения на согласованность мнений экспертов.
Кроме того, до настоящего времени в Группе «Газпром» (за исключением области обеспечения информационной безопасности) не существует полностью формализованного описания модели нарушителя [11, 13, 14]. При количественной форме параметры модели описываются абсолютными и относительными значениями. Как правило, используется 3-уровневая качественно-количественная шкала характеристик нарушителя. В такой шкале модификации нарушителя по некоторой характеристике могут, например, задаваться так называемыми «коэффициентами усиления». В абсолютном качественном выражении параметры модели задаются с помощью качественных шкал в случае, когда составление характеристики нарушителя является сложно формализуемой задачей, статистика по которой отсутствует. Дальнейшее развитие предложенного метода и анализ различных сценариев защиты могут дать заметный эффект, поскольку метод обеспечивает легкое включение новых факторов и сценариев, а схема «что будет, если» позволяет найти плюсы и минусы различных стратегий защиты.
Синтез риска
Как уже отмечалось, КВИ Группы «Газпром» характеризуют распределенность в пространстве, большое разнообразие и взаимодействие типов объектов, неоднородная структура технологических цепочек, уникальные условия воздействия на отдельные объекты, подсистемы и систему в целом рисков различной природы. Если под устойчивостью функционирования
такой сложной системы понимать выполнение ею плана своего развития с допустимыми отклонениями по объемам и времени выполнения задач, то управление безопасностью в этой системе сводится к минимизации внеплановых потерь при возникновении внештатных ситуаций и проведению мероприятий по их упреждению.
Оптимальное управление ССС, нацеленное на получение прибыли от ее деятельности, заключается в умении находить баланс в перераспределении имеющихся в распоряжении собственника компании ресурсов (материальных, людских, информационных) между производственной деятельностью и поддержанием потенциала развития. Простейшей моделью, иллюстрирующей сказанное, является модель взаимодействия развивающегося объекта и окружающей его среды [18, 19] (рис. 1).
Производственная подсистема приносит прибыль пропорционально количеству получаемых ресурсов а(-)-х(-) с некоторым положительным коэффициентом скорости прироста имеющихся в системе ресурсов
ф|1—I. Этот положительный коэффициент
Ч ) )
скорости прироста имеющихся ресурсов в системе - потенциал развития (ф) - играет роль ускорителя (замедлителя) скорости воспроизводства ресурсов в системе. Фактически разность у(-) = у1(-) - у2(-) - это доля ресурсов, выводимых из цикла воспроизводства в виде потерь того или иного рода, например конечного потребления, налогов и т. п.
В простейшем представлении воздействие «потенциала» - значение функции
(1-а(01
ф|-I - и коэффициент у(-) для крупно-
I а(-) )
масштабных систем будем считать константами, не зависящими в явном виде от времени. В этом случае развитие системы описывается однородным линейным уравнением по переменной х(-) при параметрах а и у:
^ = а(-)*(4+ (1)
Л ^ а(-) )
Оптимальная пропорция а*(-) между производственной подсистемой и потенциалом ее развития определяется из условия
* I 1 — о. а ф| —— | ^ тах.
(2)
При естественном предположении, что зависимость потенциала развития ф от затрачен-
ных средств | =
1-а
есть монотонная функ-
ция с насыщением (рис. 2), существует простой способ определения ее оптимума, так как
1
1 + 1
На рис. 2 видно, что этот оптимум достигается в некоторой точке £, имеющей вполне определенный смысл. Так, если ресурсов на развитие потенциала выделено «чрезмерно много» (£ > £*), то средства, составляющие £ - £*, некорректно изъяты из текущего воспроизводства и возникает ситуация, когда
Производственная х(г) + а(г)) ■ *(г)-ф
система
'Л /Л Ф <#) V У
(1 - а^мо Потенциал
развития
»-У,«'*«
Рис. 1. Деятельность ССС как развивающейся системы:
- - время; а(-) - пропорция распределения ресурсов между производственной подсистемой и потенциалом ее развития; у1(-), у2(-) - коэффициенты интенсивности обмена ресурсами между исследуемой системой и некоторой внешней по отношению к ней системой в процессе их сосуществования; х(-) - прибыль производственной подсистемы
Рис. 2. Зависимость потенциала развития от затраченных средств
затрачиваются усилия на изучение и противодействие многочисленным рискам, с которыми развивающаяся система может никогда и не столкнуться. Точка 4 = 0 на рис. 2 соответствует ситуации, когда все ресурсы тратятся исключительно на рост производственной системы. Потенциал подобной системы низок из-за постоянных потерь, которых можно избежать, если наличествует потенциал для предвидения возникающих рисков и борьбы с ними. Участок (отрезок) 4 = [0; 41] показывает, что если средства, выделяемые на изучение и противодействие угрозам и рискам, малы, то отдача от подобных исследований и поведенных мероприятий меньше выделенных на них ресурсов. Сбор информации, исследование внутренних и внешних угроз на низком уровне не позволяют получать адекватную оценку для улучшения качества принятия решений в большинстве так или иначе складывающихся обстоятельств. На участке 4 = [41; 42] вклад в потенциал развития начинает давать положительную отдачу, однако только в точке 42 будет достигнут уровень «самоокупаемости» затрат на развитие «потенциала» системы: ф(42) = ф(0). Поэтому целесообразно рассматривать 42 как точку «критического» положения. Снижение потенциала ф(4) до уровня ф(42) угрожает тому, что «в силу обстоятельств» экономически целесообразной окажется стратегия «выживания», т.е. полного отказа от затрат на решение задач предвидения и упреждения угроз и рисков и обеспечения воспроизводств лишь за счет наращивания низкоэффективных мощностей в производственной подсистеме 4 ^ 0.
Несмотря на схематичность описанной модели, она дает представление о том, что угрозы
и риски можно рассматривать как «антипотенциалы» развития, т.е. замедлители скорости воспроизводства всей системы.
Для оценки системной значимости объектов (а по сути - уровня угрозы внештатной ситуации) ССС, в роли которой рассматривалась ЕСГ, предложено использовать иерархическую многокритериальную модель [20]. Интегральный риск внештатной ситуации Я(ги .., г,, .., гп) при этом представляет собой функцию рисков возникновения частных внештатных ситуаций г, (, = 1, .., п). Вид зависимости Я от своих аргументов выбирается исходя из условий:
0 < Я(г„ .., г,, .., Гп) < 1; Я(0, .., 0, .., 0); Я(0, .., г,, .., 0) = г1 и
0 < Я(г1, .., 1, .., гп) = 1 для Уг, = 1 независимо от значений других аргументов.
Непрерывная функция Я(г^ .., г,, .., гп), удовлетворяющая вышеуказанным условиям, имеет следующий общий вид:
Я(г1,..., г гп) =
= 1 -{п (1 - г )} Я (г„.., г,.., гп), (3)
где я(0, .., г,, .., 0) = 1.
Если в частном случае я(гх, ..., г,, ..., гп) = 1, то, соответственно,
Я^,..., г,..., гп) = 1 -|п (1 - г )|, (4)
что дает заниженную оценку интегрального риска из расчета, что поток внештатных ситуаций представляет собой смесь ординарных событий, взятых из однородных, но различающихся значениями г, (, = 1, .., п) выборок.
Поскольку для реальных систем риски, как правило, зависимы, получаем:
Я 01,..., г,,..., гп) = 1 -I1 ¿С, [г,. ]а'[г, ]р"; (5)
,= 1 ,=,+1
п-1 п
НС < 1, С, > 0, а, > 0, р, > 0, ,=1 ,=,+1
(6)
где С , - коэффициенты связности рисков -й и ,-й внештатных ситуаций; а, и в, - положительные коэффициенты эластичности замены соответствующих рисков. Коэффициенты а, и в, позволяют учитывать факты «замещения» рисков, обусловленные главным образом тем, что мероприятия по снижению всех рисков не могут быть одновременно проведены эффективно вследствие ограниченности времени и ресурсов.
Текущие значения рисков г ( = 1, ..., п), входящие в интегральный показатель рисков Я, являются величинами, изменяющимися во времени с различными скоростями (например, в зависимости от сезонного фактора существенно меняются приоритеты решаемых технологических задач). Вследствие этого классический расчет сбалансированности рисков приводит к задачам комбинаторной сложности на исходных данных, имеющих объективно случайную, неопределенную, часто качественную (полуколичественную) природу. Задачи анализа рисков осложняются еще и тем, что значительную роль могут сыграть слабо формализуемые угрозы (СФУ).
Для учета этих факторов предложено [20] формировать величины г, как произведение четырех составляющих:
г = г ( а) г(4) г(с) г(а).
(7)
Составляющая г,(а) (см. формулу (7)) оценивается через категорийность задач, выполнение которых отменяется или задерживается вследствие возникшей внештатной ситуации (например, в системах газоснабжения ка-тегорийность может определяться через процентное распределение категорий потребителей энергии, пострадавших в случае внештатной ситуации из-за прекращения поставок газа). При достаточном уровне осведомленности при прочих равных условиях, имея средства для поражения одной цели, террорист выбирает объект, совершающий наибольший объем товарно-транспортной работы (Ж). Первый
базовый критерий оценки системной значимости объекта ЕСГ получается при допущении, что в широком диапазоне изменения Ж эффект от нарушения его функционирования линеен. Критерий оценивает недопоставки продукции по сравнению с идеальным режимом функционирования ЕСГ как системы в целом, является расчетным показателем и тесно связан с показателем мощности объекта ЕСГ. Последний рассчитывается с помощью моделей функционирования объекта: например, для компрессорных и газораспределительных (ГРС) станций, а также подземных хранилищ газа - по моделям потоков газа в магистральных газопроводах; для заводов - через суточные объемы отгружаемой продукции и т.п. В силу конъюнктуры места и времени функционирования (сезонности) газовые объекты принципиально отличаются друг от друга эффектом от недопоставки газа. Один и тот же газ используется в различных технологических цепочках. Поэтому нарушителю «выгоднее» (при прочих равных условиях) поразить объект, выполняющий наиболее важную, критическую и «высокооплачиваемую» работу или ту, за невыполнение которой могут последовать большие штрафные санкции.
Второй множитель г,(4) (см. формулу (7)) показывает важность выполнения единицы работы: возможны случаи, когда Ж1 > Ж2, но при этом г1(4)Ж1 < г2(Ь)Ж2. Тогда второй объект становится для террориста привлекательнее первого как более «квалифицированный», т. е. более «дефицитный ресурс». Составляющая г,(4) оценивается через предельно допустимые потери (ПДП, 2) при внештатных ситуациях на фоне существующего уровня технологий и прогнозных (субъективно установленных) расчетных данных о таких потерях. По сути, г,(4) является поправочным коэффициентом, учитывающим все категории потребителей (например, в соответствии с очередью отключения) и топологию их размещения в регионе, на функционирование которых влияет снижение производительности данного объекта. До достижения уровня ПДП г,(4) может рассматриваться как линейная
функция: г4 = , где 4, - текущий уровень потерь. В случае превышения уровня ПДП принимается, что г,(4) = 1.
Третий множитель г,(с) (см. формулу (7)) служит показателем потенциальной
осуществимости запланированной акции, связанной с возможностью доставки средств поражения, наличием в регионе расположения поражаемого объекта потенциальных сообщников и т.п. По аналогии с техническими системами г/с) показывает уровень «агрессивности» внешней среды, в которой работает объект. Считается, что труднодоступные для террористов объекты с меньшим значением г/с) не включаются ими в список потенциальных целей, поскольку существуют цели, «поражение» которых даст тот же эффект, но, например, расположенные ближе к базе террористов, границе государства и т.п. Критерий г/с) - безразмерная величина, рассчитываемая по эмпирически подобранным статистическим данным о характеристиках объектов в привязке к их территориальному размещению и имеющая смысл показателя безусловной уязвимости объекта, на котором инициируется сценарий I-й внештатной ситуации. Для каждой территории вследствие географических факторов, особенностей производственной структуры, социально-культурных, этнических и прочих различий требуется построение уникальных моделей расчета, в значительной степени опирающихся на субъективные оценки экспертов, знакомых со спецификой территории.
Показатель г ¡а> (см. формулу (7)) определяется на основе ранжирования типов объектов. Он отражает свойство относительной «восприимчивости» объектов заданного типа к изменению (в широком диапазоне) факторов, определяющих г/с). Значения г (а> используются таким образом, чтобы привести оценки рисков внештатных ситуаций, инициированных событиями на объектах различных типов, к единой шкале. Это поправочный коэффициент, характеризующий тип (группу) объектов. Он отражает сравнительную привлекательность для террористов объектов разных типов: нормирует среднюю доступность точек приложения поражающих средств в зависимости от «компоновочных характеристик» объектов в ЕСГ, корректирует величины эффекта поражения. В случае систем газоснабжения, например, ГРС расположены ближе к потребителю и часто не имеют дублеров, а КС, напротив, как правило, имеют и внутрицеховое переключение газоперекачивающих агрегатов, и разветвленную систему лупингов на многониточных магистралях.
Предложенная схема вычисления интегрального риска Я (см. формулу (7), [20])
главным образом предназначена для предварительного анализа вариантов развития системы на основе иерархии показателей, характеризующих все аспекты внештатных ситуаций, включая как оценки последствий г/а) и r/4), так и оценки причин r/c) и r(d>. Введенные базовые показатели строятся через свертки ресурсных показателей, имеющих натуральное выражение, однако формулы сверток приходится реконструировать экспертным путем. Специфика использования свертки показателей в виде мультипликаторов обусловлена тем, что восприятие ожидаемых потерь (впрочем, как и природных сигналов) органами чувств человека сопоставимо с логарифмической шкалой. Для описания связей между показателями введен в рассмотрение направленный граф (граф влияний). Поскольку деятельность любого человека в отдельности, группы людей, трудового коллектива компании в целом многогранна и разнообразна, представляется наиболее уместным применение многокритериального подхода с элементами «нечеткой» логики и использованием (насколько позволяют данные) аппарата обнаружения скрытых закономерностей в сочетании и с учетом взаимного усиления многочисленных факторов.
Анализ и оценка риска
Анализ риска является единственной возможностью исследовать те вопросы безопасности, на которые не может дать ответы статистика, например, аварии с малой вероятностью реализации, но большими потенциальными последствиями. Конечно, анализ риска не решает всех проблем безопасности, но только он позволяет сравнить риски, обусловленные различными источниками опасности, выделить наиболее существенные из них, выбрать самые эффективные и экономичные с точки зрения обеспечения безопасности системы, разработать мероприятия по снижению последствий аварий и т.д.
В зарубежной печати наравне с термином «анализ риска» (англ. risk analysis) иногда встречается термин «вероятностная оценка риска» (англ. probabilistic risk analysis, PRA), утвержденный NRC (англ. National Research Council, Канада). Принципиального различия между этими понятиями нет, хотя считается, что PRA преимущественно нацелена на анализ аварий с низкой вероятностью. Тем не менее при помощи PRA часто исследуются
и события, вероятность возникновения которых варьируется в широком диапазоне. В отечественной литературе такого разделения не существует.
В настоящее время процедуру анализа риска можно условно разделить на две основные составные части - оценку и управление - и несколько промежуточных, каждая из которых характеризуется своими проблемами и использует присущие ей методы и модели. Важно помнить, что вопросы анализа риска нельзя рассматривать отдельно от игровой постановки. Следует признать, что в настоящее время основные формулы в анализе риска извращены, упрощены, забыта их принадлежность к теории игр. Причин несколько. Слово риск стало модным, в итоге специалисты «ухватись за термин», не понимая, откуда он происходит и какие аксиомы в этот термин «заложены». Экономисты, страховщики, экологи и деятели других отраслей народного хозяйства нередко плодят ложные научные результаты исходя из некорректных определений, введенных ими самими. Для ряда приложений нужно было упростить формулу расчета риска. Справедливости ради заметим, что иногда получаются приемлемые результаты. Но это, как правило, касается только статических и стационарных случаев (где работает традиционная теория надежности), но никак не динамических случаев. В результате риск как динамическая характеристика, зависящая от времени, средств и информации, свелась к двумерным оценкам вероятности и ущерба. В современном анализе рисков «сохранены» теории прочности и надежности, но свернуты исследования в области теорий живучести и гомеостазиса, а также адаптивных теорий, включая теории выбора решений, перспективной активности, рефлексий, самоорганизующихся систем и др. Следует также помнить принципиальное различие между стохастическими факторами, приводящими к принятию решения в условиях риска, и неопределенными факторами, приводящими к принятию решения в условиях неопределенности. И те, и другие приводят к разбросу возможных исходов управляющих воздействий. Но стохастические факторы полностью описываются известной стохастической информацией, которая и позволяет выбрать лучшее в среднем решение. Применительно к неопределенным факторам подобная информация отсутствует. В общем случае неопределенность может быть вызвана
либо противодействием разумного противника (более сложный случай, связанный с рефлексиями противника; пример - террористическая угроза), либо недостаточной осведомленностью об условиях, в которых осуществляется выбор решения.
Проблема обеспечения безопасности объектов топливно-энергетического комплекса (ТЭК) в условиях изменения состава и интенсивности угроз устойчивому развитию отрасли не теряет своей актуальности на протяжении длительного времени [1]. Требования безопасности, установленные для объектов высокой и средней категорий опасности, порой высоки и существенно повышают затраты собственников объектов. Возникает вопрос ранжирования объектов внутри заданных категорий для определения очередности их оснащения требуемыми средствами защиты. Для этого необходимо задать критерий, относительно которого будет определяться важность (и, соответственно, порядковый номер) того или иного объекта в ранжированном перечне. Используемые методы ранжирования объектов основаны на математическом моделировании, экспертных оценках, теории принятия решений и интервальном оценивании [21-23]. В той или иной мере они учитывают интересы эксплуатирующих организаций, государственных надзорных органов, страховых компаний. Вместе с тем существующие на сегодняшний день методы ранжирования (например, ранжирование объектов по защищенности от чрезвычайных ситуаций на железнодорожном транспорте [24], ранжирование опасных производственных объектов систем газораспределения [25] и др.) не учитывают особенностей структурной связности объектов ранжирования и важности работы конкретного объекта для смежных систем и подсистем.
Ранжирование объектов является типовой задачей теории измерения сложных синтетических свойств объектов [26]. Формально решение задачи сводится к построению некоторой функции ценности, полезности, связывающей измеряемое свойство с более простыми, измеряемыми в натуральных величинах ресурсными показателями (факторами) [27]. Функция ценности используется как для решения задач выбора некоторого наилучшего варианта из множества альтернатив [28], так и для решения более композиционных задач типа задачи формирования портфеля заказов на выполнение работ при ограничениях на ресурсы
(объемы финансирования при создании или модификации объектов) [23]. Факторы, через которые строятся ранги, часто измеряются не по количественным, а по качественным шкалам, поэтому для построения зависимостей между полезностью и первичными ресурсными факторами требуется использование экспертных оценок и экспертных технологий [23, 29]. В связи с развитием компьютерной техники появилась возможность оценивания объектов, факторы описания которых задаются с погрешностью, что требует разработки специфического аппарата статистической обработки первичных данных [30] и использования инструментария нечеткой логики [31, 32]. Существенной чертой задач ранжирования является адаптивный характер процедур принятия решений при выборе оптимальных вариантов [31], когда для построения окончательной формулы функции ранжирования требуется несколько циклов согласования экспериментальных данных и экспертных предпочтений [31].
Оценка риска служит этапом, на котором определяются неблагоприятные последствия, связанные с той или иной производственной деятельностью. И прежде всего необходимо идентифицировать источники опасности, для чего нужно определить границы исследуемой системы. Другими словами, необходимо знать, какие источники включать в рассмотрение, а какие - нет, при оценке риска в регионе или происходящего от конкретной исследуемой системы.
Жестких правил здесь нет и быть не может. Однако на сегодняшний день разработаны положения, которые должны быть учтены при исследовании вопросов безопасности. Так, например, в процессе оценки риска, обусловленного энергетическими и другими сложными технологиями, при сравнении их друг с другом или, когда исследования проводятся в региональном или даже национальном масштабах границы определяются так, чтобы охватить всю энергетическую или промышленную систему от добычи топлива или сырья до производства конечного продукта. По мере уменьшения исследуемых географических или технологических масштабов ценность включения в рассмотрение полных энергетических или промышленных циклов уменьшается. Наиболее подробно сформулированные положения по определению границ исследуемых региональных или крупных промышленных систем можно
найти в Национальной стратегии США и работе Д. Д. Дуденхоффера с соавторами [2].
Международные организации отмечают тот факт, что при оценке риска, создаваемого даже одной конкретной технологией, в различных странах в большинстве случаев получают разные цифры. Это объясняется не только разнообразием рабочих характеристик и показателей качества топлива, нормируемых требованиями к контролю уровня загрязнения, но и не всегда адекватным определением границ самой исследуемой системы. Поэтому для облегчения сбора и обработки данных следует принять единый набор терминов и положений для описания энергетических и промышленных систем и их основных компонент. Тезаурус основных понятий для таких систем был предложен, например, Министерством внутренней безопасности США (англ. Department of Homeland Security, DHS). Описание снабжения любой энергетической системы в рамках предлагаемых DHS определений будет зависеть от вида используемого топлива. Подобная унификация понятий и способов описания систем для нужд Группы «Газпром» облегчит компании получение статистических данных и позволит специалистам более адекватно описывать соответствующие процессы.
Основными моментами оценки риска являются подробное описание источника опасности и определение связанного с ним возможного ущерба. Существуют различные модели источников опасности, которые позволяют определить вероятность того или иного сценария развития аварии и соответствующую мощность выброса опасных веществ в окружающую среду. В зависимости от типа источника выделяют три категории риска.
Обычный риск связан с нормальной работой предприятия. Условия нормальной работы подразумевают и аварии с незначительным ущербом, которые происходят довольно часто. Таким образом, эта категория риска характеризуется равной или близкой к единице вероятностью реализации. В большинстве случаев обычный риск либо является неотъемлемой частью самого производственного процесса, либо легко контролируется. Источники такого риска принято описывать мощностью выброса или утечки в окружающую среду, вызванных нормальной работой либо каким-то мелким происшествием. Оценка мощности выброса или утечки для работающих предприятий
может быть произведена на основании измерений либо опыта работы аналогичных предприятий.
Другие две категории риска связаны с авариями на производстве, при транспортировке или хранении опасных веществ. Под аварией при этом понимается событие с низкой вероятностью осуществления (например, менее одного случая за все время жизни предприятия), но со значительными или даже катастрофическими последствиями. В ходе анализа аварийных ситуаций обычно рассматриваются возможные сценарии развития аварии. При этом должны быть учтены такие факторы, как тип инициирующего события, количество имеющегося опасного вещества, эффективность аварийных систем безопасности и многие другие. Обычно существует большое число возможных сценариев развития аварии, и поэтому в оценке риска необходимо определить весь спектр и вероятности возможных сценариев. Вероятность события при этом может изменяться в диапазоне от 10-6 до 10-8 событий в год. Более редкие события настолько трудно оценить, что их считают практически невероятными.
Периодический риск связан с теми авариями, которые довольно часто повторяются, но вызывают ограниченный ущерб, куда могут входить даже человеческие жертвы. Это вовсе не означает, что такие аварии являются планируемыми. Они, конечно, нежелательны, и для их предотвращения создаются и используются системы безопасности. Однако, как показывает статистика, несмотря на эти меры, такие аварии могут происходить, и риск, связанный с ними, имеет довольно широкий диапазон значений в зависимости от типа производственной деятельности. Причинами подобных аварий обычно становятся нарушения технологического процесса, неверное использование оборудования и ошибки персонала. Для оценки риска этой категории частота аварий и другие необходимые параметры оцениваются при помощи стандартных статистических методов на основе имеющихся данных.
Гипотетический риск связан с авариями, которые, как считается, могут происходить с очень малой вероятностью, но приводить к очень большим последствиям. Для такого класса аварий характерно отсутствие либо недостаточное количество статистических данных. Однако из-за огромного потенциального ущерба невозможно просто ждать, пока
наберется достаточный практический опыт. Поэтому в этих случаях анализируют гипотетические аварии с целью определения вероятности реализации и оценки возможных последствий аварии такого типа. Обычно недостаток статистических данных относится к поведению крупной промышленной или энергетической системы в целом. Поэтому такой анализ проводится либо при помощи экспертной оценки, либо методом «деревьев событий», где вероятность гипотетической аварии может быть предсказана на основе возможных неисправностей или отказов в работе отдельных узлов или механизмов, по которым имеются соответствующие статистические данные. Во многих случаях такой метод прогноза составляет одну из основных частей упомянутого ранее вероятностного анализа риска - PRA.
Следует помнить о том, что для оценки риска нет необходимости использовать чрезмерно усложненные модели переноса из-за больших неопределенностей и осреднений, возникающих при расчете риска. Кстати, значение неопределенности и диапазон возможных значений риска также характеризуют риск в целом. Так, по мнению различных экспертов, неопределенность в оценке риска аварий на промышленных предприятиях может составлять один и даже достигать двух порядков величины. Это связано с недостатком базы знаний по широкому кругу технических, экологических и социальных факторов, которые необходимо учитывать в анализе риска. Есть даже заключения, основанные на анализе точности и неопределенной при определении риска, что модели переноса, позволявшие получить значение концентрации опасного вещества в исследуемом месте с точностью 10 % (максимум 20 %), вполне приемлемы [33].
Таким образом, устойчивое функционирование и развитие любой ССС зависит от большого числа внешних и внутренних факторов, в том числе факторов негативного воздействия. Для мониторинга и оценки этих факторов, а также принятия решений, направленных на снижение негативных последствий их проявления, повсеместно внедряются так называемые системы сбалансированных показателей (англ. balanced scorecard), т.е. ключевые показатели эффективности (КПЭ), количественно характеризующие факторы риска, которым подвержена система. Из числа КПЭ выбираются стратегические целевые показатели (СЦП),
количественно отражающие стратегические цели функционирования системы и представляющие собой базовые экономические и производственные показатели эффективности ее развития (опосредовано, недостижение СЦП характеризует уровень существующих угроз и степень их реализации в рассматриваемый промежуток времени).
На основе КПЭ и СЦП строятся системы мониторинга угроз и рисков, позволяющие собирать данные об изменениях и проводить анализ эффективности функционирования системы по нескольким сотням показателей в организационном, продуктовом, географическом и других разрезах на суточном, квартальном и годовом горизонтах планирования. Считается, что результаты анализа позволяют осуществлять «управление по отклонениям», акцентируя внимание на проблемных областях каждого объекта управления посредством «светофорной» индикации. Однако по мере накопления данных возникает проблема интерпретации сигналов этих сотен «светофорных индикаторов». Неочевидно, что считать «хорошим» или «плохим» сигналом в целом для системы, если, например, половина индикаторов «горят» зеленым цветом, а половина - «красным»? Как квалифицировать ситуацию, если «зеленых» индикаторов немного больше, чем «красных»? И т. п. Неочевидны также связь анализируемых индикаторов с СЦП высокого уровня и степень их влияния на достижение целевых значений СЦП, утвержденных руководством компании. Возникает так называемый эффект «больших данных», когда аналитики не успевают обработать накапливающуюся информацию, а стандартные статистические методы просто перестают работать.
Кроме того, система мониторинга угроз и рисков, построенная на основе анализа трендов изменения показателей, не способна предсказывать кризисы и ситуации с негативной динамикой. Такие события редки и протекают, как правило, на различных прогнозных фонах, а в случае анализа рядов исторических данных о редких событиях имеют место дискретные динамические вероятностные процессы. Поэтому целью анализа Группы «Газпром» как объекта прогнозирования является построение такой прогностической модели динамики ситуаций, возникающих при ее функционировании, которая позволит с помощью вычислительных экспериментов и подбора приемлемых
параметров уменьшать степень неопределенности оценки дат событий и их масштаба, т.е. получать прогнозную информацию об объекте прогнозирования за счет выявления скрытых закономерностей, которые указывают либо на изменения состояния объекта, либо на закономерности изменений параметров внешней среды, существенно влияющей на функционирование системы (так называемые законы изменчивости «прогнозного фона») [34].
Из-за дискретной природы кризисных ситуаций использование аппарата анализа данных, основанного на классических законах больших чисел, некорректно. Сходимости по вероятности в реальности практически никогда не наблюдается, за исключением статистики, накопленной в системах массового обслуживания. Панель индикаторов, реализованная в виде «светофора», построенного на основе использования дисперсии как основного показателя, может в течение всего года указывать на нормальное состояние, когда на самом деле система переходит в область предкризисных значений. Кроме того, при официально декларируемой (в том числе и в Группе «Газпром») иерархической системе показателей, как правило, отсутствуют однозначная функциональная связь и взаимное влияние показателей нижнего и верхнего уровней.
Необходим корректный первичный анализ многолетней статистики, и уже на основе этого анализа можно дать заключение о том, возможна ли разработка адекватного исследуемой задаче инструмента прогнозирования и какая доля случайности в оценке дат возникновения неблагоприятных ситуаций и их масштабов может быть с его помощью устранена. Также очевидно, что, поскольку истинные законы распределения анализируемых случайных процессов и, главное, факторы, их определяющие, будут непрерывно корректироваться (любая высокотехнологичная система изменяется быстрее, чем накапливаются адекватные статистические данные), необходимо использовать критерии, «свободные от распределений». В частности, в качестве критериев достижения прогностической цели следует взять не погрешности модельных данных относительно реальных, а критерии, используемые методами классификации и распознавания образов. Например, в качестве меры точности прогноза можно использовать ошибки предсказания первого и второго родов для различных
классов и типов ситуаций, причем, если удастся, в зависимости от класса физического объекта и значений параметров прогнозного фона. Второе обстоятельство очень важно, поскольку, например, некорректно складывать статистические показатели аварийности, рассчитанные для разных времен года, так как в различные сезоны технологические процессы протекают по-разному.
Надежное выполнение системой своих функций характеризуется сохранением некоторых заданных характеристик (отражаемых в соответствующих значениях СЦП и КПЭ) в установленных пределах. На практике полностью избежать отклонений невозможно, однако необходимо стремиться к минимизации отклонений текущего состояния от некоторого заданного идеала - цели, заданной, например, в виде значений СЦП первого уровня.
Мера угрозы недостижения заданных значений СЦП первого уровня (по сути, мы снова говорим о риске) рассматривается в данном случае как переменная величина, представляющая собой функцию текущего положения системы: она увеличивается при приближении оцениваемой ситуации к некоторой допустимой границе, по достижении которой система не может выполнить свои обязательства и добиться заданных значений соответствующих СЦП первого уровня.
Общая математическая постановка обсуждаемой задачи такова: пусть заданы множество X признаков текущей ситуации (например, текущих значений КПЭ, факторов риска и т.п.), множество У допустимых реализаций ситуации (например, текущее значение СЦП первого уровня больше или меньше предыдущего и т.п.) и существует целевая функция у*: X —> У, значения которой у = у*(х) известны только на конечном подмножестве объектов {х1, ..., х,} сX(например, соответствующие текущему значению СЦП первого уровня значения КПЭ). Пары «объект - ответ» (х„ у) - прецеденты. Совокупность пар Х1 = (х„ у)'^ = 1 составит обучающую выборку. Требуется по выборке X' восстановить зависимость у*, т.е. построить решающую функцию А: X — У, которая приближала бы целевую функцию у*(х), причем не только на объектах обучающей выборки, но и на всем множестве X. Поскольку при этом решающая функция А должна допускать эффективную компьютерную реализацию, возможно называть ее также алгоритмом.
Условно существуют два класса объектов, с которыми приходится сталкиваться специалистам в области автоматизации управления, -простые и сложные. Простыми являются объекты, точные математические модели которых, например, в виде системы алгебраических уравнений или модели линейного программирования при учете всех необходимых количественных факторов, влияющих на поведение объекта, пригодны для реализации на компьютере выбранного класса и вполне адекватны объекту. Сложные объекты управления имеют следующие главные отличительные особенности: не все цели выбора управляющих решений и условия, влияющие на этот выбор, могут быть выражены количественными соотношениями; отсутствует либо является неприемлемо сложным формализованное описание объекта управления; значительная часть информации, необходимая для математического описания объекта, существует в форме представлений и пожеланий специалистов-экспертов, имеющих опыт работы с данным объектом.
Построение точных и пригодных для реализации и эксплуатации на современных компьютерах математических моделей сложных объектов либо затруднительно, либо (часто) вообще невозможно. Но это не означает, что задача не имеет решения. В общем случае возможных направлений поиска может быть два: 1) попытаться применить нетрадиционный математический аппарат для построения модели, учитывающей все особенности объекта и пригодной для реализации; 2) строить не модель объекта, а модель управления объектом (т.е. моделировать не сам объект, а человека-оператора в процессе управления объектом). По своей сути описанный алгоритм (см., например, [35]) связан с построением поля структуры данных и анализом его эффектов, включая и уточнение самой структуры. В любых данных одновременно присутствуют и порядок, и беспорядок. Поскольку исключающее ИЛИ «построить» трудно, реализована идея построения решающих правил на монотонных функциях, задающих сетевой порядок [35]. Суть решателя в геометрии достаточно проста. Необходимо так подобрать признаки, сохраняя свойства частного порядка, чтобы объекты на подмножестве признаков разделились: «хорошие» (по заданному критерию) поднялись, «плохие» опустились.
Это классическая задача дискретной математики о нахождении логической функции,
принимающей значение ИСТИНА (1) на «хороших» примерах и значение ЛОЖЬ (0) на «плохих» примерах [35]. Решается она десятками различных способов, в основе которых лежит метод разложения любой логической функции в суперпозицию более простых функций (формула фон Неймана) [36].
Существуют роботизированные системы, изготавливающие любые микросхемы с заданными свойствами для решения специализированных функций. В том числе реализованы сверхбольшие интегральные схемы для обработки массивов очень большой размерности. Но чаще всего это технически оптимизированные решения. При всех успехах эвристической математики оптимизационные методы, как правило, приводят к большому перебору вариантов, не гарантирующему того, что найденные решения оптимальны. Методы построения оптимальных (содержащих меньше переменных или с непересекающимися сомножителями в логических суммах) формул для частично заданных логических функций имеют алгоритмы комбинаторной сложности с экспоненциальным ростом затрат вычислительных ресурсов в зависимости от размеров решаемых таблиц (как по количеству переменных, так и по количеству обучающих объектов) [19].
Фактически А.В. Бочковым и Н.Н. Жиги-ревым [35] задача сведена к построению модели «серого ящика» [36], тестирующего входы и выходы некоторого имитатора реальной системы. «Серый ящик» - это частично «прозрачная» модель, в которой видны элементы структуры решений и есть возможность вмешиваться в процесс настройки решателя. Вопрос о предельном количестве возможных ошибок решателя при «сером» подходе может решаться автоматически при условии введения естественным образом ограничения на тип логических функций, адекватных поставленной задаче. Так, следуя логике аксиом выбора, авторы концепции [35] ограничились достаточно представительным классом логических функций, известных как монотонные. Монотонная логическая функция - это логическая функция, дизъюнктивная нормальная форма которой не содержит ни одной переменной с использованием логического отрицания (одноместная операция НЕ отсутствует).
Решатель имеет следующий вид:
V
у = Х(••••• X,,В, ), (8)
у=1
где у - оценка объекта (у = 1 (ИСТИНА) для принятых объектов, у = 0 (ЛОЖЬ) для отвергнутых объектов); V - номер группы переменных; V - количество групп; Б, - размерность (количество признаков) группы; х,1 - первый признак в группе; х,В - последний признак в группе. Истинное значение (у = 1) достигается в том и только в том случае, когда в описании объекта отражены признаки хотя бы одной группы.
Существует много способов усилить решатель вида (8). Например, посредством задания требования, что классифицируемый объект должен быть отобран хотя бы на двух группах, трех группах, на группах с большим (избыточным) количеством вопросов. Можно сократить количество групп V, т.е. повысить надежность отбора, оставив тех, кто прошел первые V испытаний. Это способ управления ошибками первого рода. Возможно управлять структурой признаков: рассматривать либо сразу основные признаки, либо группу специфических. Тогда динамика прохождения сформирует группы со средней спецификой, т.е. данные о количестве объектов, прошедших через каждое испытание, станут более равномерными.
Получается интересный инструмент ситуационного анализа: как бы автоматически строятся слабо пересекающиеся группы схожих описаний ситуаций, т.е. создается типология ситуаций по сочетанию признаков, которые входят в решатель. Такая типология, опять же, может быть полезна при предквалификации (приеме или отказе новых соискателей) на торгах: незачем брать фирму того профиля (типа), экземпляров которых (среди уже выбранных) достаточно. Здесь можно пойти на ошибки второго рода, взяв в предквалификацию, например, тех, кто не ответил на все вопросы Б,, а ответил лишь на Б, - 1 или Б, - 2 вопроса.
Возникает механизм действенного адаптивного управления. Он особенно проявляется, когда используется оцифровка не логических, а количественных переменных, где признаку соответствует некоторый диапазон допустимых значений КПЭ. Тем самым, «щадя», мы расширяем допустимые диапазоны изменения значений этих показателей и, напротив, «ужесточая», сужаем эти диапазоны. Последнее достигается тогда, когда в качестве признака ужесточения выбирается признак, описывающий близость к границам допустимых зон значений КПЭ. Резкий рост ошибок второго рода
требует переобучения решателя для «разведения» признаков, принадлежащих старым группам, по новым группам, а если и этот прием окажется малодейственным (не возрастет запас надежности решателя - количество ошибок первого и второго родов приблизится к пороговым значениям), необходимо вводить новые признаки.
Принятие решений в системах управления безопасностью
Иерархическая структура задач построения системы управления внештатными и кризисными ситуациями с учетом современного уровня и перспективных направлений развития нефтегазовой отрасли должна включать: основные понятия; описание методов управления безопасностью и принципов составления полного набора данных для анализа и решения задачи управления безопасностью; методику предварительного анализа данных (на актуальность, полноту, непротиворечивость); требования к результатам анализа (времени реагирования, видам отчетных материалов, решений, рекомендаций); последовательность представления результатов; принципы построения и формат протокола, согласно которому должны быть предоставлены выходящие материалы и др. Однако попытки практического создания такой системы наталкиваются на ряд принципиальных проблем.
Группа «Газпром» относится к классу открытых систем, крайне сложных для оценки и управления. Характерная особенность открытой системы - динамическое взаимодействие с окружающим миром. Организации такого типа получают сырье, финансовые и человеческие ресурсы из окружающего мира. Технологический процесс создается для переработки сырья в конечный продукт, который, в свою очередь, продается заказчику. Финансовые учреждения, рабочая сила, поставщики и заказчики, правительство - все являются частью окружения [37].
Степень разграничения открытой или закрытой систем меняется. Открытые системы тяготеют к нарастанию усложненности и дифференциации (т.е. открытая система будет по мере роста стремиться к большей специализации своих элементов и усложнению структуры, нередко расширяя свои границы или создавая новую суперсистему с более широкими границами). Если предприятие растет, то наблюдаются значительная его дифференциация и усложнение (что
хорошо видно на примере Группы «Газпром», диверсифицирующей свою деятельность на области электроэнергетики, нефтедобычи и др.). Неизолированность Группы «Газпром» как ССС подразумевает также ее взаимодействие с внешним окружением и воздействие этого окружения на него. Такое воздействие, вообще говоря, может трактоваться весьма широко: это могут быть природные катаклизмы (например, землетрясения, приводящие к разрушению дамб и других строительных конструкций), крупномасштабные аварии (например, взрыв на атомной электростанции, нарушение электропитания целого региона), а также противоправные акции или информационные диверсии, где спектр воздействий наиболее широк. Принятие решений в этих условиях становится очень сложной и неоднозначной задачей. Какому объекту управления уделить больше внимания? Как перераспределить имеющиеся ресурсы? Появляются задачи определения приоритетов, ранжирования проблем и угроз. Отсюда следует, что оценку значимости объектов и проблем в сложной незамкнутой динамической системе следует проводить, используя математический аппарат теории игр и, в более общей постановке, теории конфликтующих систем. Для научного описания этих явлений требуются такие модели и математические методы, которые способны учитывать неопределенные и случайные факторы, интересы и побуждения людей.
Впервые принципы научного анализа действий в конфликтных ситуациях сформулированы фон Нейманом и Моргенштерном в 1944 г. [27]. Опубликованная ими работа положила начало «потоку» математических исследований игр и решений, которые во многом способствовали выработке правил оптимального поведения для широкого класса конфликтных ситуаций.
В современном виде теория игр неизбежно носит нормативный характер: игрок, применяющий ее, узнает, что должно делать и какую стратегию выбрать, чтобы обеспечить себе благоприятный исход. Но, как и многие другие абстрактные математические модели, теоретико-игровая модель конфликта ограничена. Она не может выявить природы конфликта, скрытых пружин человеческой деятельности в конфликтной ситуации. Поэтому, когда речь идет о конфликте, следует отчетливо различать два возможных предмета исследования. Мы можем, встав на позицию одной из сторон, искать действия, направленные к достижению некоторой
цели. При этом мы, естественно, должны учитывать противодействие противника, цель которого помешать нам. Если в этой ситуации выбрать одну из возможных стратегий поведения, то нужно иметь обоснование того, что некоторая стратегия поведения является лучшей и что следует поступить так, а не иначе. Естественно, такой выбор будет обоснованным, если его можно подкрепить количественными данными. Главное здесь в том, что решение (а следовательно, и все последующие действия) обосновывается тем, что именно на этом пути игрок увеличивает свой выигрыш за счет противника.
Такого рода схема используется при решении задач исследования операций [38]. Поскольку ЛПР редко располагает всеми необходимыми сведениями о «противнике» (его целях, ресурсах и стратегиях), ему приходится принимать решения в условиях, характеризующихся той или иной степенью неопределенности, т.е. степенью неинформированности ЛПР об этих условиях. В соответствии с имеющейся информацией о «противнике» в рамках исследования операций в основу выбора стратегии обычно кладется принцип гарантированного результата: какое бы решение ни принял «противник», некоторый выигрыш должен быть ЛПР гарантирован. Конфликтная ситуация хотя и входит в модель операции, планируемой одной из сторон, не является предметом самостоятельного исследования.
В конкретных задачах исследования операций деятельность конфликтующих сторон не рассматривается как особый вид человеческой деятельности, и конфликт как таковой выступает лишь в роли фона, на который проецируются действия сторон. В математической теории игр мы имеем дело с аналогичной постановкой задачи. Идет ли речь о реальном противнике или конфликтующая сторона представлена природой, предметом изучения остается выбор стратегии, выбор поведения. Принцип гарантированного результата в теории игр конкретизируется в критериях выбора решения. Отличие состоит, пожалуй, в том, что «теоретики игр» оперируют с игровыми моделями с позиции объективного исследования (обе стороны выступают в модели как равноправные партнеры), а исследователи операций по необходимости занимают позицию одной из сторон.
Остановимся, например, на проблеме принятия решения в задаче обеспечения защищенности объектов Группы «Газпром». Рассмотрим
некоторый (к-й) объект. В результате предполагаемой атаки нарушителей того или иного уровня подготовки Л этому объекту через его полный (или частичный) выход из работоспособного состояния будет нанесен определенный ущерб (обозначим его через X). Отметим, что не всякая атака априори приводит к успеху нападающей стороны. Поэтому профиль защиты к-го объекта может быть описан интервальными представлениями посредством задания четырех матриц:
а, л), о , Л), х тп а, Л), х£ с ,л). (9)
Здесь I (I = 0, 1, ..., I[к]) - уровень защиты к-го объекта. Нулевой уровень ( = 0) соответствует текущему состоянию защиты.
Интерпретация элементов матрицы такова: если на указанный объект k с уровнем защиты будет осуществлена атака противника с уровнем подготовленности Л, то с ве-
р°ятн°стью от етпо', л д° бти^ Л) группе
«Газпром» будет нанесен ущерб величиной от х™(/, Л) до х^(/, Л). Ясно, что величины
(Л о, Л(/ , Л), х^ (/, Л) по мере роста Л будут расти, а по мере роста - снижаться. Очевидно также, что защита на любом уровне требует определенных материальных затрат со стороны как Группы «Газпром», так и государства. Обозначим величину затрат на создание и поддержание защиты к-го объекта на I -м уровне через У [к](/ [к]).
Поскольку суммарный ресурс, выделяемый на защиту всех объектов, ограничен, должно выполняться неравенство
£ У[ к ](/[ к ]) < У, (10)
к
где У - сумма всех затрат на защиту объектов при условии, что для каждого объекта к выбран вариант системы защиты [к].
Если бы у преступников не существовало преимущества выбора цели и варианта атаки, т.е. если бы преступность была неизбирательна, как природа или технологические отказы, то «оптимального» профиля защищенности объектов можно было бы достичь последовательным выполнением следующего алгоритма:
а) оцениваются вероятности Х[к](/) атаки каждого к-го объекта противником Л-го уровня подготовленности;
б) рассчитывается медианное значение риска, обусловленного реализацией нападения
на к-й объект противником/-го уровня подготовленности при /[к]-м варианте реализации системы защиты объекта:
^ • /т]](/) • (;[ к ],/ )+отх (;[ к ],/).Хтп о[к],})+х!шХ о[ *],}) I. щ)
/=0 I ^ J
в) определяется величина предотвращенного риска на единицу вложенных в защиту средств:
0[ш ;<[к ]1=(12)
г) для каждого к-го объекта выбирается максимальное из значений 9 [к; /[к]]:
6 [к;/*[к]] = шах(9[к; /[к]]>, (13)
т.е. при выбранном варианте /*[к] наблюдается максимальное снижение риска на единицу вложенных средств для к-го объекта;
д) составляется ранжированный перечень объектов, располагаемых по убыванию величины показателя 9 [к; /*[к]];
е) далее по списку объектов отсчитываются первые К объектов, суммарные затраты на защиту которых вкладываются в выделенные средства У, тогда как на (К + 1)-й объект ресурсов не хватает.
Суть процедуры предельно проста: нет смысла изыскивать средства на дополнительную защиту тех объектов, которым ничто не грозит (вероятности атак Х[к]( /) малы). Также нецелесообразно защищать дополнительно те объекты, временная потеря работоспособности которых практически не сказывается на величине суммарных потерь Группы «Газпром» (соответственно, малы Х^О'1" ], /)). И, наконец, дополнительная защита нецелесообразна на тех объектах, которые уже защищены настолько хорошо, что снижение потерь может быть достигнуто, но неадекватно большими средствами (т.е. малы значения 9[к; /*[к]]). Ключевым моментом приведенного алгоритма является составление ранжированного перечня объектов по критерию минимизации математического ожидания потерь на единицу средств, вложенных в их защиту (в их устойчивое функционирование).
В формуле (11) четко прослеживается необходимость сбора и оценки данных по трем компонентам: 1) потерям Х^О', /), Х^О, /), вызванным реализацией атак; 2) показателю «агрессивности преступной среды» Х[к](/); 3) зависимости рисков от типов объектов к.
Вследствие того, что объекты Группы «Газпром» не являются автономными предприятиями, размеры потерь X должны отражать системный эффект (или социально-экономический мультиэффект), который существенно возрастает в зависимости от того, какие из потребителей продукции атакованного объекта пострадают из-за потери работоспособности предприятия. Общий вывод из сказанного: следует рассматривать не средние, а верхние границы показателей ущербов и дополнительно учитывать необходимость непрерывного функционирования объекта в связи с каскадным эффектом усиления последствий потери его работоспособности для других объектов ЕСГ и ТЭК в целом.
Классифицируем нарушителей по уровню подготовленности / (/ = 0, 1, .., 3). Нулевой уровень (/ = 0) соответствует самому низкому уровню подготовленности. Максимальный уровень (/ = 3) соответствует сверхподготовленной диверсионной группе. Будем считать, что на реализацию атаки нарушителем /-го уровня потребуется единиц ресурсов. Естественно предположить, что чем выше уровень/, тем существенно больше требуется ресурсов 21 (более серьезная атака требует от нарушителей принципиально больших затрат на ее подготовку: времени, квалифицированных кадров, изучения функционирования объектов и систем их охраны и т.п.).
Естественно также предположить, что суммарные ресурсы у преступного мира ограничены (боевики, снаряжение, вооружение), а значит, моделью интегрального профиля нарушителей будет являться кортеж количества (интенсивности) атак соответствующего уровня подготовленности N = , Ы1,..., NJ } с учетом вышеуказанных ограничений:
N < (J = 0,.., J)
^ (14)
Ё (NjZJ) < ^,
>0
где 2 - суммарное количество средств, выделяемых преступностью на подготовку и реализацию атак на объекты.
Пусть также - наша оценка суммарного ресурса, имеющегося у сил, заинтересованных в нарушении безопасности объектов Группы «Газпром». Если < 2, то защищающаяся сторона недооценивает возможности противника, если > 2, то, напротив, имеет место переоценка его сил. Считаем, что на момент выбора атаки нарушитель имеет собственные представления о количестве ресурсов, выделяемых компанией на охрану своих объектов, т.е. у него имеются некоторые представления и о том, как мог измениться известный ему «нулевой вариант».
Нарушители обладают правом выбора целей и способны выбирать наборы объектов, которые будут ими атакованы. Пусть их выбор базируется на их собственной модели ожидаемого ущерба, т.е. в их распоряжении имеются по четыре ма-
трщы ОттО', Л, б^О', Л, Х^О', л, Х^О', л аналогичные матрще (9Х на каждый из объектов и свое представление о том, сколько ресурсов У потрачено Группой «Газпром» на защиту всех объектов. Соответственно, если У < У, то противник недооценивает возможности защиты объектов, и если У > У, то он их переоценивает.
Очевидно, что оценки б^О, Л б^О, Л Х^О', J), Х^О', J) также могут быть противником как завышены, так и занижены, тем не менее в соответствии со своим правом выбора он определяет такой набор объектов для атаки и такие варианты подготовленности нарушителей для каждого объекта, при которых наносится максимальный ущерб.
Обозначим через 5И(/, J) характеристическую функцию, которая означает, что против к-го объекта с ожидаемым уровнем защиты i ( = 0, 1, .., I[к]) выбрана атака уровняJ ( = 0, 1, .., J). Если для всех I (I = 0, 1, .., I[к]) значения 5[к](/, J) равны нулю, то к-й объект не будет подвержен атаке уровняJ. Если при всех J и всех I значения 5[к] (/,^ равны нулю, то к-й объект при предполагаемом противником варианте целепола-гания полностью выбывает из списка целей.
Если для некоторого I значение 5[к] (I, J(i)) равно единице, считаем, что объект к с уровнем защиты i выбран противником как цель для атаки уровнем подготовленности J(i).
Перечисленные свойства записываются системой равенств:
V/ 5[к]0', J )(1 -5[к]0', Л) = 0 ук(х £ 5[к]о-, ]) - ^ £ 5[к]о-, ])
V •=0 ]=0 ) V •=0 1=0 )
Учитывая, что
1к
= 0.
(15)
V! ЕЕ§[к]('', J) = NJ, (16)
I=0 к
и дополняя эти уравнения системой ограничений, приведенной ранее, мы получаем возможность рассчитать суммарный ожидаемый ущерб, наносимый противником (т.е. риск):
R± W j). Qkn с1 k ], j)+omx o[k ], j ). xm no-[k], j)+xmutk ], j) ]. (17)
k i= 0 j=0 [ 2 2 J
Обозначим R как R(Var_/, Var_J), подчеркивая, что R зависит как от варианта защиты объектов (Var_/), так и от варианта атаки (Var_J). Ищем максимум R для всех вариантов атак, удовлетворяющих ограничениям, при рассмотрении всех вариантов оснащения дополнительной защитой в качестве параметров:
R*(Var I) = max {R(Var I, Var J)}. (18)
Var_J
Тем самым мы постулируем, что противник выбирает самый худший для защищающейся стороны (Группы «Газпром») вариант. При этом задача защиты сводится к ограничению множества выбора для противника: ищется такое усиление объектов Группы «Газпром», чтобы минимизировать R *(Var_I), т.е. решается задача поиска равновесного значения R **:
R ** = min{R *(Var_I)}. (19)
Var_I
Предлагаемая постановка имеет типовой вид задач теории игр. Решением этой задачи является равновесие по Нэшу - седловая точка (Var_I *, Var_J *):
R** = R(Var_I*, Var_J*). (20)
В этой точке Группе «Газпром» невыгодно менять стратегию оснащения Уаг_/ *, поскольку вне этой стратегии у противника появляются возможности для нанесения более «чувствительных» ударов. При этом атакующей стороне тоже невыгодно менять свой план Уаг_,/ *(Уаг_/*), так как любое изменение приводит к снижению суммарных ущербов, которые она стремится нанести объектам Группы «Газпром», а через них - ТЭК РФ и стране в целом.
Несмотря на то что предлагаемая задача теоретически имеет очень большую размерность и обладает большой комбинаторной сложностью, она вполне решаема вследствие монотонности используемых критериев и линейности систем ограничений. В рамках рассмотренной постановки, учитывающей комплексное воздействие потенциального противника, кардинально меняется понимание оценки эффективности систем защиты. Так, в силу ограниченности ресурсов, доступных преступному миру, естественно ожидать перемещения целеполагания с хорошо защищенных объектов (с малой ожидаемой результативностью атак) на менее защищенные (с большей результативностью, но при меньших разовых ущербах). Очевидно, что нерационально дополнительно защищать объекты, которые никто не атакует.
Ранее неоднократно подчеркивалось, что описанная процедура оперирует только оценками с обеих сторон. Из-за неустранимой неопределенности оценок в качестве решения задачи о выработке стратегии и тактики усиления защиты объектов Группы «Газпром» от возможных противоправных действий, включая террористические акты и атаки диверсионных групп, на первом этапе целесообразно «загрубить» игровую постановку. При «загрублении» должны «идеализироваться» возможности противника и ужесточаться характеристики вероятных потерь, например, путем перехода от медианных оценок рисков к максимальным. Решение задачи в данной постановке позволило бы на основе многокритериальной теории полезности разработать для Группы «Газпром» адаптивный алгоритм, устанавливающий порядок и принципы ранжирования объектов ЕСГ России по критерию системной значимости с учетом вида их деятельности, технологических особенностей, региона размещения и взаимосвязей с другими элементами системы.
Принципы составления полного набора данных для анализа и решения задачи управления безопасностью
Идеология оценок, анализа и управления рисками, собственно говоря, исходит из следующего образного определения: рискованное действие - это дело, затеянное наудачу в надежде на успех. В первую очередь, оно отражает наличие как минимум двух исходов - «успешного», на который надеются, и «неуспешного», при котором затеянное не свершается или свершается в меньшем масштабе. В тех редких случаях, когда имеются только два исхода, рисковая ситуация описывается «платежной матрицей» (таблица).
Недополученная выгода Х0 - Х1 называется, как правило, ущербом, а величина математического ожидания недополученной прибыли - риском Я:
R = p0(Xо -X0) + А(Xо -Xj) = = p,(Xо -Xj).
(21)
В случае когда возможна угроза реализации неуспешных исходов с различными ущербами, риск исчисляется по формуле
R = z Pn (Xо - X„).
(22)
Формула (22) корректно применима для текущей оценки рискового действия только в тех случаях, когда это действие «обратимо», т.е. существует возможность повторить это действие достаточно большое число раз, для того чтобы обеспечить сходимость «по вероятности». При анализе СФУ такой ситуации не наблюдается. Во-первых, как правило, исследователям ничего не известно о возможности или невозможности появления «новых» сценариев с неуспешными исходами, кроме тех, что внесены в анализируемую платежную матрицу (см. таблицу). Поэтому, хотя и должно вы-
N
полняться классическое условие р0 + ^ рп = 1,
И=1
но величины рп (п = 0, .., N - это вероятности Платежная матрица
Успешный исход Неуспешный исход
Выгода (платеж за действие) Xo Xj
Мера возможности реализации Po Pi = 1 - Po
не апостериорные, т.е. подсчитанные частоты (англ. probability), а априорные, т.е. возможности, или предполагаемые пропорции реализации исходов (англ. likelihood - правдоподобие). Во-вторых, приходится считать, что различных сценариев слишком много и каждый из них имеет пренебрежительно малую вероятность реализации. Собственно, возможен только один единственный сценарий - тот, который реализуется в реальности. Поэтому неуспешные исходы должны группироваться в классы. Первая процедура при разбиении исходов на классы осуществляется по признаку эквивалентности ущербов, что опять-таки неправильно с позиций классической теории вероятностей: величины оценок возможностей pg (g = 0, .., G), где индекс g указывает на группу исходов, зависят от субъективного восприятия (значимости) ущерба. В результате анализируется распределение «псевдовероятностей» по шкале исследователя, а не по шкале «природы явления». В-третьих, часто решение о вступлении в рискованное действие реализуется лишь один раз, поэтому сомнительно использовать вероятностные имитационные инструменты анализа, типа метода Монте-Карло. В-четвертых, часто приходится решать задачу выбора рискованного действия из множества альтернативных вариантов, чтобы исключить риски неприемлемого уровня. Оценочная функция, соответствующая случаю недопущения ущерба ниже теоретически возможного, предполагает, что от действий, для которых существует хотя бы один сценарий n, при котором ущерб (X0 - Xn) превышает заданный уровень, надо отказаться. Оценочная функция, соответствующая политике «крайней осторожности», строится на основе минимаксного критерия [39].
Для оценки угроз такой критерий, впрочем, трудно признать пригодным: редкие сценарии с большими ущербами отменили бы любую деятельность кроме «безнаказанной». Поэтому на практике приходится «сглаживать» ситуацию, что делается несколькими путями. Первый: оценивать ущербы и риски, занимая «уравновешенную» позицию. Предполагается, что на практике реализуются варианты между точками зрения крайнего оптимизма (только успех, а другого не может быть) и крайнего пессимизма (прикладываются максимальные усилия на предотвращение и/или смягчение ущербов от угрозы, но все равно реализуется
n=1
наихудший из возможных сценариев реализации угрозы). Второй: угадать и корректировать пропорции, в которых ожидаются возможные реализации сценариев угроз (для этого необходимо «периодически» оценивать текущее состояние, тенденции изменения и прогнозируемые состояния угроз). Речь идет о построении адаптивной схемы корректировки платежных матриц (см. таблицу).
Различные источники информации имеют различную специфику воздействия на оценки рискованных действий. Так, например, «компетентные источники» могут уточнять текущее состояние - вплоть до внесения новых альтернатив реализаций угроз (столбцов платежных матриц). Но отслеживание динамики состояния угроз для них не является основным видом деятельности. Научно-технологические источники достаточно уверенно могут дать предельные характеристики прогнозируемых величин (скажем, даты промышленного освоения той или иной технологии). А вот оценки тенденций, оценки скоростей нарастания или ослабления угроз можно получать только путем анализа показателей внештатных и кризисных ситуаций. Экспертно-аналитическая система должна быть многофункциональной и многоуровневой, предназначенной как для фиксации и анализа каждого конкретного случая (события), так и для прогнозирования тенденций и формирования профилактических мероприятий, если таковые ожидаются. Ожидание тех ситуаций, которые требуют действий, типично для служб пожарной охраны, МЧС, скорой медицинской помощи. В случае же СФУ стационарного характера негативных событий нет «по определению», поэтому об этих угрозах система узнает из «компетентных источников», сообщающих о них в дополнение к своей основной деятельности, либо из СМИ, когда об угрозе говорят все, «кому не лень». Между «компетентными источниками» и общедоступными СМИ присутствует широкий спектр информационных источников типа материалов выставок и конференций, публикаций научных изданий и специалистов, местной прессы (заведомо более близкой к субъектам и объектам угроз) и т.п.
Все источники информации, таким образом, выстраиваются в некоторую двумерную шкалу. Первое измерение которой отражает комплиментарность источника информации: «свой», «приближенный», «нейтральный», «аффилированный с конкурентами»,
«недружественный». Второе измерение отражает уровень специализации (компетентности) источника информации. Например, к мнению специалиста (узкоспециализированного журнала) естественно относиться с большим доверием в его области, но с меньшим доверием в более широкой области, поскольку такой источник, «очевидно», будет переоценивать факты и результаты из своей области и принижать значимость фактов и результатов из смежных областей, рассматривая их в качестве конкурентов. Оценивая ту или иную информацию, поступающую от источника, на соответствие реальности (по ретроспективным данным), можно сформировать отношение к источнику как к некоторому инструменту измерений, типизации, распознавания той или иной ситуации.
Большое разнообразие альтернативных источников информации требует их сравнительного анализа и, по возможности, отбора и оптимизации задолго до принятия решения об их использовании в практической работе системы обеспечения безопасности. Для этого необходим ответ на ключевой вопрос, а именно: по каким критериям оценивать источники, чтобы обеспечить сравнимость результатов их использования? В качестве технических критериев качества источников можно использовать показатели полноты и точности [40, 41]. Коэффициент полноты некоторого метода классификации равен доле правильно классифицированных объектов класса С из тестирующей выборки в полном количестве объектов класса С, находящихся в ней. Коэффициент точности метода классификации равен доле правильно классифицированных объектов класса С из тестирующей выборки в полном количестве объектов этой выборки, которые были классифицированы как принадлежащие классу С. Коэффициент полноты связан с ошибками первого рода - неправильной классификацией объектов, принадлежащих классу С. Коэффициент точности корреспондируется с ошибками второго рода - классификациями ложных объектов как принадлежащих классу С. Хороший метод классификации должен допускать меньше ошибок, т.е. иметь большие значения коэффициентов точности и полноты. Однако 100%-ный результат достигается лишь на специально подготовленных «эталонных» массивах данных. На практике же редко наблюдается одновременное превышение этими коэффициентами 70 % [40, 42].
Повышение надежности оценок для формирования обучающих выборок требует наличия объясняющих компонент, что вытекает из аналитического характера деятельности. Окончательную оценку качества источников требуется проводить по «конечному результату». В качестве интегральных критериев доверия к источнику информации можно рекомендовать использовать среднее время наработки критического количества ошибок источника и среднее время наработки критического соотношения ошибок первого и второго рода, совершенных на базе данных источника.
Рациональное размещение защитных ресурсов
После того как выделена группа критически важных объектов, возникает задача распределения ресурсов, имеющихся у собственника системы, для рациональной защиты этих объектов. В качестве критерия эффективности текущих мероприятий по повышению защищенности используется отношение размера ущерба для собственника и страны в целом, предотвращаемого планируемыми мероприятиями по оснащению объектов комплексами защиты, к затратам на реализацию этих мероприятий. Индекс эффективности для экономически обоснованных мероприятий должен быть больше единицы.
Средства на защиту объектов, имеющиеся в распоряжении ЛПР, как правило, ограничены, следовательно, возникает задача рационального распределения этих средств. Возможны две постановки задачи [43]. Прямая: разместить оптимальным образом имеющиеся ресурсы, чтобы гарантировать максимально возможный уровень безопасности защищаемого объекта. Обратная: разместить оптимальным образом имеющиеся ресурсы, чтобы гарантировать требуемый (желаемый) уровень безопасности
защищаемого объекта при минимально возможном использовании имеющихся ресурсов.
Защитные меры условно делят на три относительно независимых уровня, функционирование которых можно схематично представить в виде трехуровневого «сита» (уровни объекта, региона, государства), причем чем ниже уровень, тем выше его «разрешающая способность» [43, 44]. Достаточно адекватно математически описать подобный процесс может так называемая «ветвящаяся система» [43] (рис. 3). Если для каждого объекта нижнего уровня ветвящейся системы выбран индивидуальный показатель эффективности (или же обратной величины - ущерба), то полная эффективность системы может быть найдена как сумма этих индивидуальных показателей [44]. Это следствие одной из основных теорем теории вероятностей: математическое ожидание суммы случайных величин равно сумме математических ожиданий этих случайных величин независимо от того, зависимы они или нет. Предложенный подход может быть использован как при планировании мероприятий по улучшению защиты объектов от ПД, оценки эффективности этой защиты, так и для оптимального (рационального) распределения затрат на защиту групп объектов.
Методики оценки экономической эффективности инвестиционных проектов широко известны [45], однако их применение к решаемой задаче осложняется необходимостью определения «выгод» от повышения защищенности объектов. С увеличением числа объектов в системе трудности возрастают.
Разработана методика оценки экономической эффективности целевых мероприятий по повышению защищенности от противоправных действий в социально-экономических системах с большим числом объектов, к которым относится и Группа «Газпром», владеющая
(1, 1)(1, 2) (1, ... ... ((,1)(М,2) (М, лу
Рис. 3. Пример ветвящейся системы
более чем 30 тыс. объектов, подлежащих охране [46]. В общем случае прогноз экономической эффективности затрат на реализацию мероприятий в рамках целевой программы может быть дан по исходным данным двух видов: временному ряду наблюдений за рассматриваемой социально-экономической системой (корпорацией) и пространственному ряду наблюдений за аналогичными системами. Однако достаточно продолжительного (десятки лет) ряда наблюдений за результативностью затрат на оснащение объектов ИТСО в рамках Группы «Газпром» нет, так как с течением времени изменяются криминально-террористические угрозы, требования к СФЗ (модели нарушителя), сами ИТСО, их стоимость и другие факторы.
В целях прогноза предложено [47] воспользоваться пространственным рядом наблюдений за результативностью затрат по оснащению объектов ИТСО, образованному соответствующими данными о структурных подразделениях корпорации - ее дочерних обществах и организациях. Такой подход может быть эффективен, например:
1) при проверке экономической обоснованности программы. Затраты на оснащение объектов ИТСО с точки зрения экономических интересов рассматриваемой системы являются обоснованными, если «выгоды» Aw' превышают «затраты» c (в этом случае для владельцев корпорации (государства) доходность от реализации целевой программы, понимаемая в широком смысле, превысит доходность от альтернативных инвестиций с равным уровнем риска; стоимость корпорации в данном случае не вырастет, но возрастет национальное богатство страны);
2) оптимизации состава программных мероприятий (с этой целью обычно рекомендуют разрабатывать различные варианты целевой программы i е I, где I - множество возможных вариантов (как правило, не менее трех)).
Н.Н. Радаевым с соавторами [11] сделан вывод о том, что обоснование экономической эффективности целевых мероприятий по повышению инженерно-технической защищенности объектов корпорации с государственным участием, превышающим 50 % акций, имеет особенности по отношению к инвестиционным проектам, целью которых являются получение прибыли и рост стоимости компании. Для больших совокупностей объектов КВИ должна осуществляться макрооценка эффективности
целевых мероприятий. При этом «выгоды» от проводимых мероприятий состоят в предотвращении возможного ущерба для Группы «Газпром» в результате достигнутого повышения защищенности объектов.
Объекты, разрушение и/или прекращение функционирования которых приводит к наибольшему ущербу для заинтересованного субъекта, относятся к КВИ [11, 43, 48]. Решения о повышении защищенности КВИ принимаются на основе общих принципов принятия решений в условиях неопределенности и риска: нормирования, обоснования, оптимизации. Однако принятие рациональных решений заинтересованным субъектом затруднено большим числом объектов, значительным количеством влияющих на принимаемое решение случайных (так называемых рискообра-зующих) факторов и значительными затратами на обеспечение защищенности объектов. Поэтому корректная процедура принятия решений о повышении защищенности объектов должна быть в значительной степени формализована. Первым шагом в этом направлении является выработка концепции, позволяющей заинтересованному субъекту обосновать рациональные решения о повышении защищенности своих объектов от ПД. Для некоторой совокупности объектов общий объем средств на их защиту («затраты») должен быть адекватен существующей угрозе и определяется с учетом непревышения ими размера предотвращенного благодаря предпринимаемым мерам возможного ущерба (риска). Эти средства необходимо рационально распределить между объектами. Вначале целесообразно защитить объекты КВИ, причем из указанных объектов выделить те, которые требуют первоочередной защиты. Поскольку с повышением защищенности объектов эффективность затрат на их защиту снижается, целесообразно вначале защищать наиболее уязвимые объекты. В основу концепции защиты объектов может быть положен принцип равного риска от их разрушения (прекращения функционирования) для рассматриваемого субъекта [46].
В качестве рискообразующих факторов целесообразно использовать [11, 43]: террористическую опасность территории, террористические угрозы для размещенных на рассматриваемой территории объектов, уязвимость (или защищенность) объектов по отношению к террористическим действиям, последствия
разрушения (прекращения функционирования) объекта для рассматриваемого субъекта и восприятие террористического риска населением рассматриваемой территории. Показатели, учитывающие эти факторы, являются условными, а комплексный показатель, который можно интерпретировать как вероятность сложного события, определяется произведением показателей по частным событиям.
Особое значение необходимо придавать оценке неопределенностей при задании каждой из названных величин, так как ЛПР должно иметь однозначную информацию о том, какие материальные, финансовые, социальные и экологические потери могут быть понесены в результате реализации неверно принятого решения. Стоит обратить внимание, например, на методику [43], основанную на алгоритме ранжирования мероприятий защиты по экономической эффективности с использованием оптимизационного метода наискорейшего спуска, который позволяет решить обе задачи, обозначенные в начале раздела (прямую и обратную). Различные объекты имеют разные приоритеты защиты (например, атака на газопроводные системы может привести к огромным потерям человеческих жизней; уничтожение компрессорной станции - породить серьезные коммуникационные проблемы и на значительное время прервать нормальное функционирование газотранспортной системы), причем предполагается, что эксперты по безопасности способны оценить стоимость тех или иных защитных мероприятий, величину возможного ущерба в случае совершения враждебной акции, т.е. приоритеты, или веса, защищаемых объектов (например, через описанную ранее процедуру оценки системной значимости).
Эксперты оценивают коэффициенты «важности» объектов и влияние затрат на повышение защищенности объектов, а также степень защищенности объектов без специальных мероприятий. В качестве коэффициента «важности» возможно использовать значение показателя системной значимости (см. ранее). Ранжирование объектов осуществляется с помощью вычисления относительных приращений защищенности на единицу затрат:
р5 - рГ1
У; = а/' , , (23)
'' ' cs_cs
где а' - коэффициент «важности» '-го объекта; р5 - уровень защищенности на шаге 5 процесса
повышения защищенности '-го объекта; С' -затраты, связанные с достижением уровня защищенности на шаге 5. Такой подход позволяет достигнуть максимального отношения предотвращаемого ущерба к затратам на реализацию мероприятий. Названное отношение выбирается в качестве критерия эффективности мероприятий по повышению защищенности, который может быть использован при планировании мероприятий по повышению уровня защищенности объектов от враждебных действий, оценки эффективности этой защиты, а также для рационального распределения затрат на защиту групп объектов.
Анализ показывает, что предлагаемая модель оптимального распределения ресурсов, предназначенных для защиты объектов КВИ от возможных атак террористов, работает достаточно устойчиво [47].
Построение иерархической структуры системы управления безопасностью
Во многих организациях управление строится по иерархическому принципу. В иерархической системе управления любая подсистема некоторого уровня подчинена подсистеме более высокого уровня, в состав которой она входит и которой управляется. Система управления делится на подсистемы, пока полученная подсистема не перестанет выполнять функции управления, т. е. подсистемой низшего уровня станет подсистема, которая осуществляет непосредственное управление конкретными орудиями труда, механизмами, устройствами или технологическими процессами. Система управления более высокого уровня осуществляет управление технологическими процессами через подсистемы более низких (промежуточных) уровней.
Система управления предприятием также, как правило, имеет многоуровневую структуру. От подсистем, расположенных на более высоком уровне, идет поток управляющей информации к подсистемам, расположенным на более низком уровне, в то же время подсистемы более низкого уровня посылают информацию о текущем состоянии объекта управления подсистемам более высокого уровня. Преимущество иерархической структуры управления предприятием заключается в том, что решение задач управления основывается на базе локальных решений, принимаемых на соответствующих уровнях иерархии управления.
Нижний уровень управления является источником информации для принятия управленческих решений на более высоком уровне. С повышением уровня поток информации от уровня к уровню по количеству информации уменьшается, но при этом увеличивается смысловое (семантическое) содержание информации.
Все решения, принимаемые для управления производством, делятся на регламентные и случайные. К регламентным решениям относятся решения, которые принимаются регулярно с определенной периодичностью, поэтому большая часть процедур, связанных с выполнением этих решений, поддается автоматизации. Случайные решения принимаются в результате непредвиденных обстоятельств и поэтому не поддаются надежному информационному обслуживанию.
В крупных производственных объединениях для руководителей верхнего уровня управления создаются специализированные системы контроля исполнения директивных вышестоящих и собственных решений (индикативные системы). Это позволяет руководителям сосредоточить свое внимание на стратегических вопросах, исполнении перспективных задач и долгосрочных плановых работах за счет повышения скорости получения стратегической информации, широты и глубины анализа на основе информационной группировки сведений.
Таким образом, для организации эффективной системы управления безопасностью в Группе «Газпром» необходимы интеграция научно-технических результатов и информационных ресурсов и разработка методики комплексного анализа устойчивости функционирования и методических основ комплексной системы управления рисками компании. Внедрение подобной системы повысит обоснованность решений не только в области прогнозирования угроз возникновения внештатных и кризисных ситуаций различных типов и масштабов, но и в области решения задач оценки эффективности вложений в направления обеспечения безопасности и устойчивого функционирования ЕСГ. Комплексный анализ взаимосвязанных рисков отрасли и ТЭК в целом позволит обосновать необходимые и достаточные уровни безопасности опасных объектов и производств исходя из их важности для решения широкого спектра задач управления.
В настоящее время существует ряд подходов к оценке кризисной (предкризисной) ситуации на некотором объекте (системе), которые с системной точки зрения базируются на решении задач классификации состояний исследуемого частично управляемого динамического объекта (системы) в условиях риска и неопределенности или, другими словами, на оценке последствий прогнозируемых сценариев развития текущего состояния в последующие. Для адекватной оценки текущего состояния системы необходимо иметь:
• полную систему индикаторов состояния системы и внешней (конкурентной) среды (описание позиции);
• генератор конечного обозримого количества возможных сценариев развития системы (ходы «своих фигур», «нейтральные» ходы «природы» и антагонистические ходы «фигур противника»);
• функцию оценки состояния (выигрыш -улучшение позиции - ухудшение позиции -проигрыш).
При этом, не дожидаясь наступления «проигрыша» (при ухудшении оценки текущего состояния или же когда конкуренты предпринимают нерассмотренные ранее ходы), необходимо искать новые сценарии развития, поскольку все рассмотренные ранее варианты приводят к проигрышу или вероятность благоприятных последствий чрезвычайно мала. Вследствие того что в развитии любой системы присутствуют активные противники (конкуренты), частично управляемые внутренние факторы (техногенная и антропогенная аварийность) или неуправляемые факторы (природные бедствия и катастрофы), все сценарии носят вероятностный характер. Поэтому даже при плавном изменении состояния системы (когда невозможно получить крупный проигрыш за короткое время) необходимо учитывать фактор накопления случайностей и разрабатывать индикаторы-предвестники оценки близости исследуемой системы к границам потери устойчивости развития.
С позиций системологии потеря устойчивости развития системы проявляется на нескольких иерархически связанных уровнях, каждый из которых требует отдельного обстоятельного анализа. Первый уровень - уровень «прочности» (сложная конструкция должна состоять из устойчивых элементов) - связан с устареванием оборудования, отставанием квалификации персонала от скорости развития
современных технологий и исчерпанием ресурсов, на базе которых работает система. Второй уровень - уровень «надежности» (сохранение работоспособности целого в условиях отказа части элементов) - обеспечивается главным образом дублированием элементов, узлов, подсистем. Третий уровень - уровень «живучести» - связан со способностью системы активно противодействовать внешним угрозам. Четвертый уровень - уровень «самоорганизации» - проявляется в адаптивных свойствах системы по следующим «подуровням»:
1) «гомеостазису» - поддержанию «в норме» целостности системы и ее жизненно важных функций;
2) «обучению, тренингу» - выработке новых методов функционирования для обеспечения способности решать более сложные задачи в будущем;
3) «преадаптации» (предвидению, интеллекту) - подготовке «впрок» оптимизированных планов, механизмов и ресурсов для разрешения кризисных и предкризисных ситуаций, которые не произошли, но возможны в будущем;
4) «перерождению» - формированию в недрах старой системы «новой» системы, функционирующей по «новым» правилам, в которых старая система существовать не сможет.
Кроме того, как уже упоминалось, ситуационное управление принципиально базируется на том факте, что значительная часть информации представлена в виде текстовых сообщений СМИ и имеет внеплановый непрогнозируемый характер. Поскольку такая информация уникальна и изменчива во времени, аналитические структуры компании зачастую не способны оценить ее достоверность, новизну и полезность. Нередко вследствие этого информация переходит в разряд СФУ, которым свойственны неопределенность и динамичность исходных данных и знаний. Для СФУ характерны:
• большое количество информации символьной природы;
• отсутствие математической постановки задачи и формального алгоритмического решения (а если они и существуют, то пространство поиска решения очень велико и найти его за допустимое время и с имеющимися ресурсами практически невозможно);
• потребность для решения задач в эвристиках - утверждениях, основанных на экспериментальных данных, интуиции (цель применения эвристик - путем исключения заранее
непригодных решений найти более рациональное решение, а не точное математическое).
Несмотря на рост в последнее время доли СФУ (появление новых информационных, социальных и инженерных технологий, террористические и военные риски, вопросы изменения ценовой политики, миграционные процессы и т.п.), неизбежно отражающемся в том числе и на комплексной безопасности Группы «Газпром», оценке и анализу этих угроз уделяется недостаточно внимания. Вместе с тем накапливается опыт создания систем пополнения знаний, появляются модели, позволяющие отличить просто информационный шум от информационной атаки или информационного обозначения поступающих событий. В частности, меняются лексика и частотный характер сообщений до «критических» событий и после. Информация имеет, как правило, многоаспектный характер, существуют так называемые «классификаторы проблем». Тем самым кроме навыков идентификации угроз накапливаются и систематизируются знания относительно того, какая проблема «цепляет» другие проблемы в соответствии некоторыми сценариями. Таким образом, только комплексный анализ взаимосвязанных рисков для отрасли и ТЭК в целом может дать обоснование необходимых и достаточных уровней безопасности опасных объектов КВИ исходя из их важности для решения широкого спектра задач управления.
Следует также отметить, что в современной практике экономико-математического анализа наблюдается «засилье» методов, порожденных успешным решением тех или иных физико-технических задач. Вместе с тем тезис «классической науки» о беспристрастно -сти законов природы (безусловной воспроизводимости их в жизни) не выдерживает критики. Практические решения часто носят разовый, неповторяемый характер.
При этом исследование большинства явлений, происходящих в реальном мире, вызвано именно необходимостью активного сознательного («пристрастного») изменения познающим субъектом объектов познания, в частности необходимостью конструирования таких объектов, которых не было ранее. При этом надо уметь прогнозировать деятельность и вытекающий из нее результат с учетом того, что «другие не спят», т.е. работать в условиях конкуренции в постоянном поиске оптимальных (приемлемых) решений.
В этом аспекте уместна методологическая проработка вопроса, что значит оптимально? Содержательные представления об оптимальности в условиях конфликтов (т.е. в условиях различия интересов) возникли и развиваются достаточно давно. Во многих исследованиях представление о конфликте и оптимальности в условиях конфликтов является ведущим в том смысле, что отказ от их рассмотрения делает беспредметным все исследование. Достаточно сослаться на такие явления, как боевые конфликты, политическая борьба, конкуренция в экономике и т.п.
Наличие конкуренции в корне меняет существо прогнозных оценок, в том числе и прогнозных оценок достижений тех или иных направлений бизнеса. Например, модели на основе системы уравнений Лотки - Волкгерры, предназначенной для изучения явления «конвергентной эволюции» (отбора наиболее перспективных направлений развития), используются для прогнозирования перспектив относительно однородных технологий, конкурирующих между собой (например, вследствие принадлежности различным собственникам), но имеющих и «общего врага». В частности, для газовой промышленности таковыми являются ядерная энергетика, возможно, другие альтернативные виды энергетики, химическое производство материалов, замещающих газ, и т.д. Например, последний доклад Римского клуба предрекает «закат» газовой и нефтяной эры уже к 2030 г. [49].
Как показывает даже сильно упрощенная аналитическая модель, построенная на упомянутых уравнениях Лотки - Волкгерры, «технический анализ» экономических данных посредством различных моделей регрессии не всегда корректен. По крайней мере, в условиях, когда доминирующим обстоятельством является не динамика предыдущей успешности, а факторы, определяющие конкурентоспособность старых (проверенных) технологий на фоне развивающихся новых технологий (и «своих», и «чужих») в условиях их борьбы за одного и того же потребителя с ограниченными возможностями, необходимы методы анализа конкурентных систем. Заметим, что вычисление параметров, описывающих уровни конкуренции, требует помимо использования стратегического «коридорного» прогноза создания системы мониторинга СФУ устойчивому функционированию и развитию Группы «Газпром».
Очевидно, что разработка индикаторов предкризисных ситуаций - сложнейшая многоуровневая задача, не укладывающаяся в единую универсальную схему, поэтому дальнейшее развитие системы стандартизации и методологического обеспечения управления безопасностью в Группе «Газпром» предполагает рассмотрение ряда направлений дополнительных исследований по разработке индикаторов предкризисных ситуаций, которые должны вестись в «частных» исследовательских парадигмах с использованием различных теоретических подходов и моделей. Перечислим их кратко.
Информационно-логический подход. В данном случае сущность «критической ситуации С» описывается логической функцией ИЛИ объединения возможных частных «эталонных» реализаций С:
с = и с[п].
(24)
Каждая реализация С[п] критической ситуации С описывается некоторым достаточно большим подмножеством информационно-логических признаков (подобным ключевым словам в тексте). В общем случае эти описания неоднозначны, возможны «синонимы», пропуски «подразумеваемых» признаков и т.п. Как правило, признаки разделяются на три категории: индикаторы состояния самой исследуемой системы X, индикаторы «нейтральной» внешней (природной) среды р и индикаторы деятельности потенциального противника («конкурента») У:
Сп = р[ п]{Х 'п'1] X [п'к (п)]'
р[ п,1] р[п, !(П)]'У [ п,1] X [ пМ ( п )]}
(25)
Предкризисная ситуация (угроза критической ситуации) диагностируется как неполный набор индикаторов, близкий к одному или нескольким «эталонным» наборам аргументов функции р[п]. При этом предполагается, что решающая система способна оценивать вероятности перерастания угроз в реальные критические ситуации. Здесь нужны модели природных явлений и модели поведения конкурентов в ответ на реализацию тех или иных управляющих решений.
Подобный подход развивается теориями конфликтующих структур, эвристик в многошаговых позиционных играх [50], принятия решений [51], а также в ряде областей применения
искусственного интеллекта (например, для построения медицинских диагностических систем и других систем распознавания образов). В любом случае при этом подходе реализуются некоторая автоматизация формирования гипотез [52] и некоторые механизмы «размывания» образа «эталона». Описания моделей сценариев предкризисных ситуаций оформляются в форме деревьев (сетей) событий (отказов), иллюстрирующих логику развертки сценариев [51]. Синонимия (конкуренция или замещение рисков) моделируется в виде вложенных друг в друга функций сверток информационных признаков Е[и], начиная со сверток первичных признаков в более крупные агрегатив-ные признаки [53]. При большом количестве первичных признаков зачастую используется иерархическое устройство словарей признаков. Описание деревьев событий - прерогатива экспертов, однако в последнее время проявляется устойчивый интерес к описанию сложных слабо формализуемых решений экспертов с помощью «генетических» алгоритмов и других эвристических методов, сочетающих поиск наилучшего описания сложной системы (предкризисной ситуации в ней) и ограниченную логику эволюционного отбора [54].
Энергетический (балансовый) подход. В деятельности любой компании прослеживаются три компоненты: ресурсная, научно-технологическая (производственная) и внешнеэкономическая (рыночная). Исходя из этих представлений количество проданного товара Т может быть оценено согласно следующей формуле:
Т - ЕКтщ К1шш,
(26)
где Е - энергия, необходимая для производства товара; Кпд (0 < Кпд < 1) - коэффициент полезного действия, отражающий эффективность производства товара (научно-технологический уровень производителя); Кпдан - коэффициент качества плана. Меньший единицы Кпдан указывает на то, что продукт произведен, но оказался невостребованным (или проданным по меньшей цене), например, из-за действий конкурентов на рынке (появление альтернативных источников энергии) или внешнеполитических (внешнеэкономических) обстоятельств (риски неплатежей, перенос энергоемких, загрязняющих окружающую среду производств в страны третьего мира и др.). Этот подход позволяет
разрабатывать индикаторы угроз критических ситуаций на языке вероятностей срыва потока мощности производства товаров. Особое место при этом уделяется выявлению «узких мест», определяющих предельные скорости потоков товаров (принцип Гаузе, «узкое горло» Пауэлла и др.). Показатели таких «узких мест» используются при анализе продуктивности самовоспроизводящихся систем с учетом «внутривидовой» и «межвидовой» конкуренции [55].
Балансовый подход (программно-целевое планирование). Методами сетевого (календарного) планирования можно рассчитать зависимости вероятностей выполнения тех или иных работ от объемов выделенных ресурсов Я и выделенного времени Т. По физическим причинам существуют минимальные значения времени и ресурсов - Тш1п и Яш1п соответственно, ниже которых работа невыполнима в принципе. Поэтому для более вероятного выполнения работ создаются «резервы» времени и ресурсов, и с учетом этих резервов предполагается соблюдение графика исчерпания времени и ресурсов в зависимости от оставшегося объема работ. Анализируя динамику расхода времени и средств уместно в качестве индикаторов использовать данные, свидетельствующие о приближении показателей исполнения работ, не лежащих на «критических» путях в сетевых графиках, к показателям критических работ. Угроза образования большого количества новых критических путей по ресурсам и/или времени может служить индикатором предкризисной ситуации. Такой подход предполагает усложняющуюся детализацию описания динамики системы в парадигме адаптивного управления: анализируются уровни отклонения от выбранного планового графика деятельности изучаемой системы так, как будто только внешние факторы (природа, конкуренция) выбивают систему из устойчивого равновесия и надо измерить вероятность выхода за некоторый барьер устойчивости. Вместе с тем возможны ситуации, в которых удержать равновесие невозможно или нецелесообразно и требуется перестройка структуры системы - поиск «жизни по-новому».
Индикация состояния системы на основе моделей группового поведения элементов систем. В последнее время для предсказания поведения экономических систем часто используются «полевые» модели на основе уравнений Ланжевена и Фоккера - Планка. Эти
уравнения описывают динамику элементов системы как некоторый «рой частиц», на который действуют два типа факторов: факторы дрейфа, смещающие «центр тяжести» под действием внешней силы, и диффузионные факторы, отражающие уровни свободы перемещения частиц внутри роя. В моделях разрабатываются индикаторы разрушения целостности «роя» или его вырождения. Модельные индикаторы носят оценочный характер, поскольку опираются главным образом на справедливость законов больших чисел (теорию больших отклонений при случайных блужданиях). Отмечается близкая связь «полевых» моделей с прикладной теорией катастроф [56], в частности, показывается близость таких индикаторов, как «учащение больших отклонений - сокращение времени выхода контролируемых показателей из "коридоров"», замедление «скорости релаксации системы к равновесным состояниям», «вырождение матрицы устойчивости Гессе».
Индикация состояния системы на основе измерения корреляционных связей в динамике показателей элементов системы. В этих постановках основанием для классификации критической ситуации является изменение устойчивых (например, корреляционных, причинно-следственных, ассоциативных, информационных) связей между элементами системы. Для анализа взаимосвязанного экономического поведения крупных подсистем (дочерних предприятий) представляют интерес разработки в области анализа гендерных (семейных) отношений, а также математической теории комплиментарности этносов Гумилева [57].
Индикация состояния системы на основе моделей «серого ящика» (нейронные сети). Нейросетевая классификация состояний сложной системы основана на выявлении информационных признаков и связей между ними, соответствующих наиболее часто встречающимся конструкциям критических ситуаций. Получение решающих правил осуществляется посредством «обучения на примерах». Поскольку законы распределения критических ситуаций неизвестны, требуется большое количество параметров для их описания и примеров, поэтому при решении задач классификации «критическая ситуация - некритическая ситуация» используются те или иные методы упрощения. Для моделирования стохастических процессов наиболее эффективны следующие нейросетевые решения: вероятностные
нейронные сети [58], самоорганизующиеся карты Кохонена [59] и динамически подстраиваемые под изменяемую статистику алгоритмы, описывающие координаты «эталонов» критических ситуаций в виде растущего «нейронного газа», распространяющегося по пространству описания примеров [60].
***
Таким образом, основой современных систем мониторинга угроз и рисков безопасности должна стать концепция управления рисками, суть которой заключается в формировании механизмов, методов и инструментов, с помощью которых возможно не только выполнить оценку рисков и угроз, но и прогнозировать их появление и развитие в будущем. При этом во главу угла ставится реализация эффективных предупредительных мероприятий с целью снижения аварийности и недопущения внештатных ситуаций, чему в большой степени может способствовать внедрение риск-ориентированного подхода к управлению безопасностью объектов КВИ. Разработку и внедрение подсистемы прогноза состояния безопасности объектов КВИ, основанной на расчете количественных и качественных показателей рисков и индикаторов угроз, целесообразно проводить с применением методологии так называемых систем раннего оповещения. Особое внимание необходимо уделить влиянию факторов риска на систему сбалансированных показателей безопасности и рисков, поскольку прогнозирование по единичным показателям не дает целостной картины тенденций развития и состояния системы.
В общем случае риск-ориентированный подход охватывает как вероятностные методы моделирования аварийных процессов и событий, так и детерминистские методы. Применению вероятностных и детерминированных оценок уделяется значительное внимание в исследованиях, посвященных повышению безопасности и совершенствованию эксплуатационных процедур. Однако опыт использования в атомной промышленности сугубо вероятностного анализа безопасности (по сути, однокритериального инструмента) показал, что этот подход охватывает не все необходимые аспекты обеспечения безопасности. Риск в области безопасности объектов критической инфраструктуры следует рассматривать как многокомпонентный вектор, набор параметров которого может меняться. Реальная
оценка уровня безопасности на основе риск-ориентированного подхода невозможна без достаточно информативной базы относительно количественных и качественных характеристик факторов рисков, с одной стороны, и, с другой стороны, данных о состоянии объектов и технологического процессов на них, которые испытывают влияние этих факторов риска. Оценка риска всегда имеет целью определение его количественных показателей, что дает возможность использования ее не только для оценки состояния промышленной безопасности, но и для обоснования экономической эффективности мероприятий, экономических расчетов необходимого возмещения или компенсаций потерянного здоровья рабочим и окружающей среде, когда рассматривается вопрос соотношения затрат и пользы. Слепая реализация существующих подходов к наблюдению и анализу приведет к ситуации, когда текущее состояние безопасности объектов будет характеризоваться несколькими сотнями показателей «светофорного» типа. На этапе решения задачи оценки рисков необходимо установить
связи анализируемых показателей безопасности с показателями высокого уровня (например, стратегическими целевыми показателями) и определить степень их влияния на достижение целевых значений этих показателей.
Контроль объекта мониторинга должен быть организован таким образом, чтобы можно было вовремя провести управленческие решения, если состояние объекта приближается к опасной зоне. Данная задача распадается на ряд подзадач, так как в вертикально интегрированных компаниях есть несколько центров принятия решений на разных уровнях управления. Перспективными при решении данной задачи могут оказаться методы оценки надежности достижения целевых показателей и методы группового анализа (последние более предпочтительны, так как позволяют строить траектории изменения показателей без учета «диффузионных» составляющих и, как следствие, могут служить базовым элементом для наращивания совокупностей, показателей и индикаторов в будущей разветвленной системе мониторинга).
Список литературы
1. Critical infrastructure security. Assessment, prevention, detection, response / под ред. F. Flammini. - 1-е изд. - Саутгемптон, Великобритания: WIT Press, 2012. - Т. 54. -326 c. - (WIT Transactions on state-of-the-art in science and engineering).
2. Dudenhoeffer D.D. CIMS: a framework for infrastructure interdependency modeling and analysis / D.D. Dudenhoeffer, M.R. Permann, M. Manic // Proc. of the 2006 Winter Simulation Conference / под ред. L.F. Perronc, F.P. Wieland, J. Liu и др. - NJ, Piscataway: Institute of electrical and electronics engineers, 2006. - С. 478-485.
3. Рябинин И. А. Надежность и безопасность структурно-сложных систем / И. А. Рябинин. -СПб.: Политехника, 2000. - 248 c.
4. Токалин В.Н. Комментарии к переводу книги Станфорда Л. Оптнера «Системный анализ для решения деловых и промышленных проблем [Электронный ресурс]» / В.Н. Токалин // Бизнес и экономика. - 116 с. - http://www.vixri.ru/ ?p=754
5. Taleb, N.N. Antifragile: Things that gain from disorder. Кн. 3: A nonpredictive view of the world / N.N. Taleb. - Нью-Йорк: Random House Trade Paperbacks, 2014. - 544 с.
6. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер; пер. с англ. -М.: Триумф, 2002. - 816 c.
7. Левин В.И. Структурно-логические методы исследования сложных систем / В.И. Левин. -М.: Наука, 1987. - 304 с.
8. Чигарев А.В. Введение в мехатронику: учеб. пособие / А.В. Чигарев, К. Циммерман,
B.А. Чигарев. - Минск: БНТУ, 2013. - 388 с.
9. Романовский Ю.М. Математическое моделирование в биофизике / Ю.М. Романовский, Н. В. Степанова, Д.С. Чернавский. - М.-Ижевск: Институт компьютерных исследований, 2003. - 402 с.
10. Yastrebenetsky M. Fukushima lessons for safety of critical control systems / M. Yastrebenetsky,
A. Klevtsov, Y. Rozen et al. // Reliability: Theory & Applications. - 2017. - Т. 12. - № 1 (44). -
C. 12-17. - http://www.gnedenko-forum.org/ Journal/2017/012017 /RTA_1_2017-02.pdf
11. Радаев Н. Н. Методические аспекты задания требований, оценки и обеспечения защищенности объектов газовой отрасли от противоправных действий / Н. Н. Радаев,
B.В. Лесных, А.В. Бочков. - М.: Газпром ВНИИГАЗ, 2009. - 164 с.
12. Biringer B. Critical infrastructure system security and resiliency / B. Biringer, E. Vugrin,
D. Warren. - Флорида, Бока Ратон: CRC Press, 2013. - 229 p.
13. Радаев Н.Н. Оценка террористической угрозы для объекта / Н.Н. Радаев, А.В. Бочков // Труды международной научной школы «Моделирование и анализ безопасности и риска в сложных системах» (МАБР-2007), Санкт-Петербург, 4-8 сентября 2007 г. - СПб.: Институт проблем машиноведения РАН, 2007.
14. Бочков А.В. Категорирование критически важных объектов по уязвимости к возможным противоправным действиям. Экспертный подход / А.В. Бочков // Безопасность, достоверность, информация. - 2009. -
№ 1 (82). - С. 22-24.
15. Костров А.В. Интервальное ранжирование объектов по многим показателям /
А.В. Костров // Проблемы безопасности и чрезвычайных ситуаций. - 1996. - № 1. -С. 46-68.
16. Литвак Б .Г. Экспертные технологии
в управлении / Б.Г. Литвак. - 2-е изд., испр. и доп. - М.: Дело, 2004. - 399 с.
17. Saaty, T.L. The analytic hierarchy process: Planning, priority setting, resource allocation / Thomas L. Saaty. - Нью-Йорк: McGraw-Hill, 1980. - 278 с.
18. Клыков Ю.И. Ситуационное управление большими системами / Ю.И. Клыков. -М.: Энергия, 1974. - 130 с.
19. Жигирев Н.Н. Модель взаимодействия развивающегося объекта с окружающей средой: препринт № 3799/16 /
E.И. Воробьев, Н.Н. Жигирев, И.И. Кузьмин и др. - М.: Институт атомной энергии
им. И.В. Курчатова, 1983. - 69 с.
20. Bochkov A.V. Some methodical aspects of critical infrastructure protection / A.V. Bochkov,
V. V. Lesnykh, N.N. Zhigirev et al. // Safety Science. - 2015. - Т. 79. - С. 229-242. - DOI: https://doi.org/10.1016/j.ssci.2015.06.008
21. Петров Н.В. Системы физической защиты. Пути построения и модернизации. Оценка эффективности / Н.В. Петров // Безопасность, достоверность, информация. - 2005. -
№ 3 (60). - С. 6-12.
22. Махутов Н.А. Возможность ранжирования систем «человек - машина - среда» машиностроительного профиля на базе нечетких множеств / Н.А. Махутов,
О.В. Крышевич // Проблемы безопасности при чрезвычайных ситуациях. - 2002. - № 2. -С. 94-103.
23. Гохман О.Г. Экспертное оценивание: учеб. пособие / О.Г. Гохман. - Воронеж: Изд-во Воронежского университета, 1991. - 152 с.
24. Зиневич C.B. Критерии ранжирования объектов по степени опасности чрезвычайных ситуаций / C.B. Зиневич, В.А. Тарасенко, Е.В. Усолов // Материалы 11-й науч.-практ. конф. - Иркутск: Восточно-Сибирский институт МВД России, 2006. - С. 220-223.
25. Буйко К.В. Подходы к оценке уровня промышленной безопасности в организациях, эксплуатирующих опасные производственные объекты / К.В. Буйко, Ю.В. Пантюхова // Безопасность труда в промышленности. -2010. - № 10. - С. 42-46.
26. Брук В.М. Начала общей теории систем /
B.М. Брук, В.И. Николаев. - Л.: СЗПИ, 1977. - 63 с.
27. Neumann, J., von. Theory of games and economic behavior / J. von Neumann, O. Morgenstern. - 60"1 юбилейное изд. - Нью-Джерси, Принстон: Princeton University Press, 2007 - 776 с.
28. Ларичев О.И. Свойства методов принятия решений в многокритериальных задачах индивидуального выбора / О.И. Ларичев // Автоматика и телемеханика. - 2002. - № 2. -
C. 146-158.
29. Cox D.R. Theoretical statistics / D.R. Cox,
D.V. Hinkley. - 1-е изд. - Флорида, Бока Ратон: Chapman and Hall/CRC, 1979. - 528 с.
30. Кувшинов Б.М. Использование комитетов
в задачах распознавания образов с неточными экспертными оценками / Б.М. Кувшинов, И.И. Шапошник, В.И. Ширяев и др. // Известия РАН. Теория и системы управления. - 2002. -№ 5. - С. 87-94.
31. Жуковский В.И. Риск в многокритериальных и конфликтных системах при неопределенности / В.И. Жуковский,
Л.В. Жуковская; Междунар. науч.-исслед. ин-т проблем упр. - М.: Издательская группа URSS, 2004. - 267 с.
32. Мелихов А. Н. Ситуационные советующие системы с нечеткой логикой / А.Н. Мелихов, Л.С. Берштейн, С.Я. Коровин. - М.: Наука, 1990. - 272 с.
33. Perrow C. Normal accidents / C. Perrow. - Нью-Джерси, Принстон: Princeton University Press, 1999. - 450 с.
34. Бочков А.В. Научно-методические основы мониторинга и прогнозирования состояния производственной безопасности ПАО «Газпром» / А.В. Бочков,
Д.В. Пономаренко // Газовая промышленность. -2017. - № 3 (749) - С. 20-30.
35. Бочков А.В. Использование метода опорных векторов для поиска скрытых
закономерностей в задачах классификации ситуаций, описываемых оцененными вопросниками / А.В. Бочков, Н.Н. Жигирев // Материалы 8-й Международной конференции по разработке жизненного цикла и управлению (ICDQM-2017), 29-30 июня 2017 г., Приевор, Сербия / под ред. проф. Ljubisha Papic. - Чачак, Сербия: Istrazivacki centar DQM, 2017. - XIII. -C. 43-71.
36. Neumann J., von. Theory of self-reproducing automata / J. von. Neumann; под ред. Arthur W. Burks. - Урбана, Иллинойс: University of Illinois Press, 1966. - 408 с.
37. Мильнер Б.3. Теория организации: учеб. / Б.З. Мильнер - 2-е изд., перераб. и доп. -М.: Инфра-М, 2000. - 480 с.
38. Смолян Г. Л. Исследование операций -инструмент эффективного управления / Г. Л. Смолян. - М.: Знание, 1967. - 63 с.
39. Wald A. Statistical decision functions / A. Wald. -Нью-Йорк: John Wiley & Sons, 1950.
40. Корнеев В. А. Интеллектуальная обработка данных / В. А. Корнеев, А.Ф. Гареев,
С.В. Васютин, В.В. Райх - М.: Нолидж, 2000. -351 с.
41. Salton G. Automatic text processing / G. Salton. -Ридинг, Массачусетс: Addison-Wesley Publishing Company, Inc., 1989.
42. Гареев А.Ф. Решение проблемы размерности словаря при использовании вероятностной нейронной сети для задач информационного поиска / А. Ф. Гареев // Нейрокомпьютеры: разработка, применение. - 2000. - № 1. -
С. 60-63.
43. Ushakov I. Counter-terrorism: Protection, resources allocation / I. Ushakov // Reliability: Theory & Applications. 2006. - Т. 1. - № 2. -
С. 71-78; 2006. - Т. 1. - № 3. - С. 48-55; 2007. -Т. 2. - № 1. - С. 50-59.
44. Ushakov I. Sensitivity analysis of optimal counter-terrorism resources allocation under subjective expert estimates / I. Ushakov, A. Bochkov // Reliability: Theory & Applications. - 2007. -
Т. 2. - № 2.
45. Мельников А.В. Математические методы финансового анализа / А.В. Мельников, Н.В. Попова, В.С. Скорнякова. - М.: Анкил, 2006. - 440 c.
46. Бурков В.Н. Модели и механизмы управления безопасностью / В.Н. Бурков, Е.В. Грацианский, С.И. Дзюбко и др. -М.: Синтез, 2001. - 140 с.
47. Бочков А.В. Решение задачи распределения ресурсов, предназначенных для защиты объектов критической инфраструктуры
от террористических атак на основе субъективных экспертных оценок /
A.В. Бочков, И. А. Ушаков // Надежность. -2015. - № 1(52). - С. 88-92 (русс.);
93-96 (англ.). - D0I:10.21683/1729-2646-2015-0-1-88-96.
48. Зуев А.Г. Категорирование потенциально опасных объектов как основа создания эффективных систем обеспечения безопасности / А.Г. Зуев. // Системы безопасности. - 2002. - № 3 (45). - С. 14-19.
49. Weizsäcker, E.U., von. Come On! Capitalism, short-termism, population and the destruction of the planet: A report to the Club of the Rome / Ernst Ulrich von Weizsäcker, Anders Wijkman. -Нью-Йорк: Springer. - 232 c.
50. Лефевр В.А. Конфликтующие структуры /
B.А. Лефевр. - М.: Советское радио, 1973. -158 с.
51. Мушик Э. Методы принятия технических решений / Э. Мушик, П. Мюллер; пер. с нем. Н.В. Васильченко, В.А. Душского. - М.: Мир, 1990. - 208 с.
52. Гаек П. Автоматическое образование гипотез: математические основы общей теории /
П. Гаек, Т. Гавранек; пер. с англ. В.К. Финна, И. С. Красильщика, М.И. Забежайло. -М.: Наука, 1984. - 280 с.
53. Подиновский В.В. Парето-оптимальные решения многокритериальных задач /
B.В. Подиновский, В.Д. Ногин. - М.: Наука, 1982. - 256 с.
54. Price K.V. Genetic annealing / K.V. Price // Dr. Dobb's Journal. - 1994. - Т. 19. - № 11. -
C. 117.
55. Эбелинг В. Физика процессов эволюции / В. Эбелинг, А. Энгель, Р. Файстель. -
М.: Эдиторал УРСС, 2001. - 328 с.
56. Гилмор Р. Прикладная теория катастроф: в 2-х т. / Р. Гилмор; пер. с англ. под ред. Ю.П. Гупало, А. А. Пионтковского. - М.: Мир, 1984.
57. Гуц А.К. Математические модели социальных систем: учеб. пособие в 2-х т. / А.К. Гуц,
B.В. Коробицын и др. - Омск: ОмГУ, 2000. -256 с.
58. Specht D.F. Probabilistic neural networks /
D.F. Specht // Neural Networks. - 1990. - T. 3. -
C. 109-118.
59. Kohonen T. Self-organizing maps / T. Kohonen. -Берлин: Springer-Verlag, 1995.
60. Fritzke B. A growing neural gas network learns topologies / B. Fritzke // Advanced in neural information processing systems 7 / под ред.
G. Tessauro, D.S. Touretsky, T.K. Leen. -Cambridge MA: MIT Press, 1995.
Issues of hazard estimation and risk control at critically important infrastructure facilities of the Gazprom Group: analytical review
A.V. Bochkov
Nllgazekonomika LLC, Bld. 20/8, Staraya Basmannaya street, Moscow, 105066, Russian Federation E-mail: [email protected]
Abstract. The paper contains review of traditional and principally new approaches to estimation of hazards and risks, as well as to moderation of accident after-effects to facilities of the critically important Gazprom Group's infrastructure. A problem of risks, stability, vulnerability and vitality studying and estimation in respect to big-scale systems is formulated. Questions of aprioristic (pre-crisis, crisis) assessment of an abnormal situation in these systems and construction of a hazard-risk indicators system are discussed. A concept for rational allocation of resources provided for protection from diagnosed threats and risks is revealed. An algorithm for ranking of facilities according to a criterion of their system importance on account of their structural and technological distinctions is suggested. Few risk analysis and control methods are shown regarding the most topical infrastructure objects of structurally complex systems. Such methods enable managers to make substantiated decisions on rational distribution of the correspondent security guards for these facilities. The peculiarities of situational control are stressed by insight of management as a process of information flows transfer from one subject to another.
Keywords: critically important infrastructure, risk, safety, hazard, vitality, fastness, vulnerability, efficiency of functioning, indicators.
References
1. FLAMMINI, F. (ed.) Critical infrastructure security. Assessment, prevention, detection, response. In: WIT Transactions on state-of-the-art in science and engineering. Southampton, UK: WIT Press, 2012, vol. 54.
2. DUDENHOEFFER, D.D., M.R. PERMANN & M. MANIC. CIMS: A framework for infrastructure interdependency modeling and analysis. In: PERRONC, L.F., F.P. WIELAND, J. LIU et al. (eds.). Proc. of the 2006 Winter Simulation Conference. Piscataway, NJ: Institute of Electrical and Electronics Engineers, 2006, pp. 478-485.
3. RYABININ, I.A. Reliability and safety of structural-complex systems [Nadezhnost i bezopasnost strukturno-slozhnykh sistem]. St. Petersburg: Politekhnika, 2000. (Russ.)
4. TOKALIN, V.N. Comments to translating book 'OPTNER, Stanford L. Systems analysis for business and industrial problem solving. N.J.: Prentice-Hall, 1965' [online]. Available from: http://www.vixri.ru/?p=754.
5. TALEB, N.N. Antifragile: Things that gain from disorder. N.Y.: Random House Trade Paperbacks, 2014.
6. SCHNEIER, B. Applied cryptography. Protocols, algorithms, source texts in C language [Prikladnaya kriptografiya. Protokoly, alroritmy, iskhodnyye teksty na yazyke Si]. Transl. from English. Moscow: Triumph, 2002. (Russ.).
7. LEVIN, V.I. Structural-logical methods for studying complex systems [Strukturno-logicheskiye metody issledovaniya slozhnykh system]. Moscow: Nauka, 1987. (Russ.).
8. CHIGAREV, A.V., K. TSIMMERMAN, V.A. CHIGAREV. Introduction to mechatronics [Vvedeniye v mekhatroniku]. Minsk: Belarusian National Technical University, 2013. (Russ.).
9. ROMANOVSKIY, Yu.M., N.V. STEPANOVA, D.S. CHERNAVSKIY. Mathematic simulation in biophysics [Matematicheskoye modelirovaniye v biofizike]. Moscow, Izhevsk: Institute of computer science, 2003. (Russ.).
10. YASTREBENETSKY, M., A. KLEVTSOV, Y. ROZEN et al. Fukushima lessons for safety of critical control systems. Reliability: Theory & Applications [online]. 2017, vol. 12, no. 1(44), pp. 12-17. Available from: http://www.gnedenko-forum.org/Journal/2017/012017/RTA_1_2017-02.pdf. ISSN 1932-2321.
11. RADAYEV, N.N., V.V. LESNYKH, A.V. BOCHKOV. Methodical aspects of specification, assessment and anti-abuse security support for gas industrial facilities [Metodicheskiye aspekty zadaniya trebovaniy, otsenki i obespecheniya zashchishchennosti obyektov gazovoy otrasli ot protivopravnykh deystviy]. Moscow: Gazprom VNIIGAZ, 2009. (Russ.).
12. BIRINGER, B., E. VUGRIN, D. WARREN. Critical infrastructure system security and resiliency. Boca Raton, FL: CRC Press, 2013.
13. RADAYEV, N.N., A.V. BOCHKOV. Estimation of terroristic threat to an object [Otsenka terroristicheskoy ugrozy dlya obyekta]. In: Modelling and analysis of safety and risk in complex systems (MABR-2007) [Trudy Mezhdunarodnoy nauchnoy shkoly "Modelirovaniye i analiz bezopasnosti i riska v slozhnykh sistemakh" (MABR-2007)]. St.-Petersburg: Institute of Problems of Mechanical Engineering RAS, 2007.
14. BOCHKOV, A.V. Expert ranking of the critically important objects by vulnerability to possible unjudicial acts [Kategorirovaniye kriticheski vazhnykh obyektov po uyazvimosti k vozmozhnym protivopravnym deystviyam. Ekspertnyy podkhod]. Bezopasnost, dostovernost, informatsiya. 2009, no. 1(82), pp. 22-24. (Russ.).
15. KOSTROV, A.V. Interval ranking of objects by many indicators [Intervalnoye ranzhirovaniye obyektov po mnogim pokazatelyam]. Problemy Bezopasnosti i Chrezvychaynykh Situatsiy. 1996, no. 1, pp. 46-68. ISSN 0869-4176. (Russ.).
16. LITVAK, B.G. Expert technologies in management [Ekspertnyye tekhnologii v upravlenii]. 2nd ed. Moscow: Delo, 2004. (Russ.).
17. SAATY, T.L. The analytic hierarchy process: planning, priority setting, resource allocation. New York: McGraw-Hill, 1980.
18. KLYKOV, Yu.I. Situational management of big systems [Situatsionnoye upravleniye bolshimi sistemami]. Moscow: Energiya, 1974. (Russ.).
19. ZHIGIREV, N.N., Ye.I. VOROBYEV, I.I. KUZMIN et al. Model of interaction between a developing object and its environment [Model vzaimodeystviya razvivayushchegosya obyekta s okruzhauyshchey sredoy]: preprint no. 3799/16. Moscow: Kurchatov Institute of Atomic Energy, 1983. (Russ.).
20. BOCHKOV, A.V., V. V. LESNYKH, N.N. ZHIGIREV et al. Some methodical aspects of critical infrastructure protection. Safety Science. 2015, vol. 79, pp. 229-242. ISSN 0925-7535. DOI: https://doi.org/10.1016/j. ssci.2015.06.008.
21. PETROV, N.V. Systems of physical protection [Sistemy fizicheskoy zashchity]. Bezopasnost, dostovernost, informatsiya. 2005, no. 3 (60), pp. 60-12. (Russ.).
22. MAKHUTOV, N.A., O.V. KRYSHEVICH. Possibility of "man-machine-environment" systems of machinebuilding profile based on fuzzy sets [Vozmozhnosti ranzhirovaniya system "chelovek-mashina-sreda" mashinostroitelnogo profilya na baze nechetkikh mnozhestv]. Problemy Bezopasnosti pri Chrezvychaynykh Situatsiyakh. 2002, no. 2, pp. 94-103. ISSN 0869-4176. (Russ.).
23. GOKHMAN, O.G. Expert assessment [Ekspertnoye otsenivaniye]. Voronezh: Voronezh University Publishers, 1991. (Russ.).
24. ZINEVICH, S.V., V.A. TARASENKO, Ye.V. USOLOV. Criteria of objects ranking by emergency hazard levels [Kriterii ranzhirovaniya obyektov po stepeni opasnosti chrezvychaynykh situatsiy]. In: Proc. of the 11th Research and Practical Conference. Irkutsk: East-Siberian Institute of RF Ministry of Interior, 2006, pp. 220223. (Russ.).
25. BUYKO, K.V., Yu.V. PANTYUKHOVA.Approaches to assessment ofindustrial safety in organizations operating hazardous industrial facilities [Podkhody k otsenke urovnya promyshlennoy bezopasnosti v organizatsiyakh, ekspluatiruyushchikh opasnyye proizvodstvennyye obyekty]. Bezopasnost Truda v Promyshlennosti. 2010, no.10, pp. 42-46. ISSN 0409-2961. (Russ.).
26. BRUK, V.M., V.I. NIKOLAYEV. Fundamentals of general Systems Theory [Nachala obshchey teorii system]. Leningrad: SZPI Publishers, 1977.
27. NEUMANN, J., von & O. MORGENSTERN. Theory of games and economic behavior. 60th anniversary commemorative ed. Princeton, NJ: Princeton University Press, 2007.
28. LARICHEV, O.I. Features of decision making methods in multicriteria individual choice problems [Svoystva metodov prinyatiya resheniy v mnogokriterialnykh zadachakh individualnogo vybora]. Avtomatika i Telemekhanika. 2002, no. 2, pp. 146-158. ISSN 0005-2310. (Russ.).
29. COX, D.R., D.V. HINKLEY. Theoretical statistics. 1st ed. Boca Raton, FL: Chapman and Hall/CRC, 1979.
30. KUVSHINOV, B.M., I.I. SHAPOSHNIK, V.I. SHIRYAYEV et al. Use of committees in pattern-classification problems with inexact expert estimations [Ispolzovaniye komitetov v zadachakh raspoznavaniya obrazov s netochnymi ekspertnymi otsenkami]. Izvestia RAN. Teoriya i Sistemy Upravleniya. 2002, no. 5, pp. 81-88. ISSN 0002-3388. (Russ.).
31. ZHUKOVSKIY, V.I., L.V. ZHUKOVSKAYA. INTERNATIONAL RESEARCH INSTITUTE FOR ADVANCED SYSTEMS. Risk in multi-criteria and conflicting systems in case of uncertainty [Risk v mnogokriterialnykh i konfliktnykh sistemakh pri neopredelennosti]. Moscow: Editorial URSS, 2004. (Russ.).
32. MELIKHOV, A.N., L.S. BERSHTEYN, S.Ya. KOROVIN. Situational advising systems with fuzzy logic [Situatsionnyye sovetuyushchiye sistemy s nechetkoy logikoy]. Moscow: Nauka, 1990. (Russ.).
33. PERROW, C. Normal accidents. Princeton, NJ: Princeton University Press, 1999.
34. BOCHKOV, A.V., D.V. PONOMARENKO. Scientific-and-methodical principals for Gazprom PJSC industrial safety monitoring and forecasting [Nauchno-metodicheskiye osnovy monitoringa i prognozirovaniya sostoyaniya proizvodstvennoy bezopasnosti PAO "Gazprom"]. Gazovaya Promyshlennost. 2017, no. 3(749), pp. 20-30. ISSN 0016-5581. (Russ.).
35. BOCHKOV, A.V., N.N. ZHIGIREV. Application of the Support Vector Machines method for search of latent dependencies in the problems aimed at classification of situations being described with weighted questionnaires [Ispolzovaniye metoda opornykh vektorov dlya poiska skrytykh zakonomernostey v zadachakh klassifikatsii situatsiy, opisyvayemykh otsenennymi voprosnikami]. In: PAPIC Ljubisha (ed.). Proc. of ICDQM-2017, June 29-30, 2017, Prijevor, Serbia. Cacak, Serbia: Istrazivacki centar DQM, 2017, XIII, pp. 43-71. (Russ.).
36. NEUMANN, J., von. Theory of self-reproducing automata. Edited by Arthur W. BURKS. Urbana, IL: University of Illinois Press, 1966.
37. MILNER, B.Z. Organization theory [Teoriya organizatsii]. 2nd ed. Moscow: Infra-M, 2000. (Russ.).
38. SMOLYAN, G.L. Operations study as an instrument of effective management [Issledovaniye operatsiy -instrument effektivnogo upravleniya]. Moscow: Znaniye, 1967. (Russ.).
39. WALD, A. Statistical decision functions. New York: John Wiley & Sons, 1950.
40. KORNEYEV, V.A., A.F. GAREYEV et al. Intellectual data processing [Intellektualnaya obrabotka dannykh]. Moscow: Nolidzh, 1999.
41. SALTON, G. Automatic text processing. Reading, MA: Addison-Wesley Publishing Company, Inc., 1989.
42. GAREYEV, A.F. [Решение проблемы размерности словаря при использовании вероятностной нейронной сети для задач информационного поиска]. Neyrokompyutery: Razrabotka, Primeneniye. 2000, no. 1, pp. 6063. ISSN 1999-8554. (Russ.).
43. USHAKOV, I. Counter-terrorism: Protection, resources allocation. Reliability: Theory & Applications. 2006: vol. 1, no. 2, pp. 71-78; vol. 1, no. 3, pp. 48-55; 2007: vol. 2, no. 1, pp. 50-59. ISSN 1932-2321.
44. USHAKOV, I., A. BOCHKOV. Sensitivity analysis of optimal counter-terrorism resources allocation under subjective expert estimates. Reliability: Theory & Applications. 2007, vol. 2, no. 2. ISSN 1932-2321.
45. MELNIKOV, A.V., N.V. POPOVA, V.S. SKORNYAKOVA. Mathematical methods of financial analysis [Matematicheskiye metody finansovogo analiza]. Moscow: Ankil, 2006. (Russ.).
46. BURKOV, V.N., Ye.V. GRATSIANSKIY, S.I. DZYUBKO et al. Models and mechanisms of safety control [Model ii mekhanizmy upravleniya bezopasnostyu]. Moscow: Sintez, 2001. (Russ.).
47. BOCHKOV, A.V., I.A. USHAKOV. Solving the task of resources allocation for critical infrastructure protection against terrorists' attacks based on subjective expert estimates. Nadezhnost. 2015, no. 1(52), pp. 93-96. ISSN 1729-2646. DOI:10.21683/1729-2646-2015-0-1-88-96.
48. ZUYEV, A.G. Ranking of potentially hazardous objects as a foundation for creation of effective safety support systems [Kategorirovaniye potentsialno opasnykh obyektov kak osnova sozdaniya effektivnykh system obespecheniya bezopasnosti]. Sistemy Bezopasnosti. 2002, no. 3(45), pp. 14-19. (Russ.).
49. WEIZSÄCKER, E.U., von & A. WIJKMAN. Come On! Capitalism, short-termism, population and the destruction of the planet: a report to the Club of the Rome. New York, USA: Springer.
50. LEFEVR, V.A. Conflicting structures [Konfliktuyushchiye struktury]. Moscow: Sovetskoye radio, 1973. (Russ.).
51. MUSCHICK, E., P.H. MULLER. Methods for making technical decisions [Metody prinyatiya tekhnicheskikh resheniy]. Translated from German into Russian by N.V. VASILCHENKO, V.A. DUSHSKOY. Original German title: Entscheidungspraxis. Moscow: Mir, 1990. (Russ.).
52. HAJEK, P., T. HAVRANEK. Mechanizing hypothesis formation: mathematical foundations for a general theory [Avtomaticheskoye obrazovaniye gipotez: matematicheskiye osnovy obshchey teorii]. Translated from English by V.K. FINN, I.S. KRASILSHCHIK, M.I. ZABEZHAYLO. Moscow: Nauka, 1984.
53. PODINOVSKIY, V.V., V.D. NOGIN. Pareto-optimal solutions for multi-criteria problems [Paret-optimalnyye resheniya mnogokriterialnykh zadach]. Moscow: Nauka, 1982. (Russ.).
54. PRICE, K.V. Genetic annealing. Dr. Dobb's Journal. 1994, vol. 19, no. 11, pp. 117. ISSN 1044-789X.
55. EBELING, W., von, A. ENGEL, R. FEISTEL. Physics of evolution processes [Fizika protsessov evolutsii]. Translated from German by Yu.A. DANILOVA. Original German title: Physik der evolutionsprozesse. Moscow: Editorial URSS, 2001- 328с.
56. GILMORE, R. Catastrophe theory for scientists and engineers [Prikladnaya teoriya katastrof]: in 2 bks. Translated from English. Moscow: Mir, 1984. (Russ.).
57. GUTS, A.K., V.V. KOROBITSYN et al. Mathematical models of social systems [Matematicheskiye modeli sotsialnykh system]: in 2 vols. Omsk: Omsk State University, 2000.
58. SPECHT, D.F. Probabilistic neural networks. Neural Networks. 1990, vol. 3, pp. 109-118. ISSN 0893-6080.
59. KOHONEN, T. Self-organizing maps. Berlin: Springer-Verlag, 1995.
60. FRITZKE, B. A growing neural gas network learns topologies. In: TESSAURO, G., D.S. TOURETSKY and T.K. LEEN (Eds). Advanced in neural information processing systems 7. Cambridge, MA: MIT Press, 1995.